JVN#94012927
エレコム無線LAN関連製品における複数の脆弱性

エレコム株式会社が提供する無線LAN関連製品には、複数の脆弱性が存在します。

CVE-2026-20704、CVE-2026-22550

• WRC-X1500GS-B v1.12およびそれ以前のバージョン
• WRC-X1500GSA-B v1.12およびそれ以前のバージョン

• WRC-X1500GS-B すべてのバージョン
• WRC-X1500GSA-B すべてのバージョン

• WAB-S733IW2-PD v5.5.00およびそれ以前のバージョン
• WAB-S733IW-AC v5.5.00およびそれ以前のバージョン
• WAB-S733IW-PD すべてのバージョン
• WAB-S300IW2-PD v5.5.00およびそれ以前のバージョン
• WAB-S300IW-AC v5.5.00およびそれ以前のバージョン
• WAB-S300IW-PD すべてのバージョン

エレコム株式会社が提供する無線LAN関連製品には、次の複数の脆弱性が存在します。

• クロスサイトリクエストフォージェリ（CWE-352）
  • CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 5.1
  • CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N 基本値 4.3
  • CVE-2026-20704
• OSコマンドインジェクション（CWE-78）
  • CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.6
  • CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 7.2
  • CVE-2026-22550
• 脆弱な認証情報の使用（CWE-1391）
  • CVSS:4.0/AV:P/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 5.1
  • CVSS:3.0/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値 4.6
  • CVE-2026-24449
• スタックベースのバッファオーバーフロー（CWE-121）
  • CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 9.3
  • CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値 9.8
  • CVE-2026-24465

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる（CVE-2026-20704）
• 当該製品にログインした状態のユーザによって任意のOSコマンドを実行される（CVE-2026-22550）
• 当該製品の情報から、初期パスワードを特定される（CVE-2026-24449）
• 細工されたパケットを処理することで、任意のコードを実行される（CVE-2026-24465）

ファームウェアをアップデートし適切な設定を行う、あるいは製品の使用を停止する
サポート期間中のモデルについては、ファームウェアの更新が提供されています。
開発者が提供する情報をもとに、最新版へアップデートしてください。
WAB-S733IW-PDおよびWAB-S300IW-PDのサポートは既に終了しているため、製品の使用を停止してください。

ファームウェアをアップデートした後、管理ページへのアクセスやWi-Fi接続のためのパスワードを推測の難しい堅牢なパスワードに変更してください。