vs gauge
区分
JVN番号
タイトル
JVN
深刻度
最終更新日
CVE番号
New
JVNDB-2026-000073

エレコム製無線LANルーターおよび無線アクセスポイントにおける複数の脆弱性(2026年5月)

9.8
2026/05/12 14:20
CVE-2026-42062
JVNDB-2026-000073
エレコム製無線LANルーターおよび無線アクセスポイントにおける複数の脆弱性(2026年5月)
概要
エレコム株式会社が提供する無線LANルーターおよび無線アクセスポイントには、次の複数の脆弱性が存在します。
  • 設定ファイルのバックアップにおけるハードコードされた暗号鍵の使用(CWE-321)- CVE-2026-25107
  • ping_ip_addrパラメータの処理におけるOSコマンドインジェクション(CWE-78)- CVE-2026-35506
  • 特定のURLへのアクセスにおける認証欠如(CWE-288)- CVE-2026-40621
  • usernameパラメータの処理におけるOSコマンドインジェクション(CWE-78)- CVE-2026-42062
  • hostnameパラメータ処理の不備に起因する格納型クロスサイトスクリプティング(CWE-79)- CVE-2026-42948
  • languageパラメータの検証欠如(CWE-754)- CVE-2026-42950
  • CSRF対策の不備(CWE-344)- CVE-2026-42961
本件の脆弱性情報は、以下の方々によって報告され、JPCERT/CCが開発者との調整を行いました。 CVE-2026-25107、CVE-2026-42950、CVE-2026-42961 報告者:GMOサイバーセキュリティ byイエラエ株式会社 石井 健太郎 氏 CVE-2026-42948 報告者:スズキ株式会社 佐藤 信弥 氏、福井大学 二俣 圭介 氏、静岡大学 髙橋 夏生 氏、早稲田大学 佐々木 美結 氏 CVE-2026-35506、CVE-2026-40621、CVE-2026-42062 報告者:株式会社ゼロゼロワン 早川 宙也 氏
想定される影響と対策
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
  • 暗号化鍵を知っている攻撃者によって、当該製品の設定ファイルを偽造される(CVE-2026-25107)
  • 当該製品にログインしたユーザが送信した細工されたリクエストを処理することによって、任意のOSコマンドを実行される(CVE-2026-35506)
  • 特定のURLを知っている攻撃者によって、認証無しに当該製品を操作される(CVE-2026-40621)
  • 認証無しで任意のOSコマンドを実行される(CVE-2026-42062)
  • 当該製品の管理者ユーザの一人が細工された入力を行った場合、その後にログインした別の管理者ユーザのウェブブラウザ上で、任意のスクリプトを実行される(CVE-2026-42948)
  • 当該製品にログインした状態のユーザが細工されたページにアクセスした場合、管理画面を操作できなくなる(CVE-2026-42950)
  • 当該製品にログインした状態のユーザが細工されたページにアクセスした場合、意図しない操作をさせられる(CVE-2026-42961)

[アップデートする] 開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。
JVN情報 ※( )内はCVSS v2の値
深刻度 9.8
CVECVE-2026-42062
公表日2026/05/12 00:00
登録日2026/05/12 14:20
更新日2026/05/12 14:20
CVSS v3情報
全ての情報を閲覧するにはユーザー登録(無料)またはログインが必要です。
新規登録
ログイン