ニュース

エレコムのWi-Fiルーターなど21製品に複数の脆弱性、最新版ファームウェアへの更新を

  • 渡邊 悠太

2026年5月12日 16:01

WRC-BE65QSD-B

 エレコム株式会社は5月12日、同社製の無線LANルーターなどネットワーク製品に脆弱性が存在するとして、セキュリティ情報を公開した。脆弱性対策情報ポータルサイト「JVN(Japan Vulnerability Notes)」でも、本件に関する情報を公開している。

対象となる製品とファームウェアのバージョン

 脆弱性が存在する製品およびファームウェアのバージョンは次の通り。ファームウェアを最新版にアップデートすることで対策可能。なお、「★」マークを付けた製品において自動更新が無効になっている場合は、手動での更新が必要。

  • WRC-X3000GS2-B(v1.09以前)
  • WRC-X3000GS2-W(v1.09以前)
  • WRC-X3000GS2A-B(v1.09以前)
  • WRC-X3000GST2-B(v1.06以前)
  • WRC-X1800GS-B(v1.19以前)
  • WRC-X1800GSA-B(v1.19以前)
  • WRC-X1800GSH-B(v1.19以前)
  • WRC-X6000QS-G(v1.14以前)
  • WRC-X6000QSA-G(v1.14以前)
  • WRC-X6000XS-G(v1.12以前)
  • WRC-X6000XST-G(v1.16以前)
  • WRC-XE5400GS-G(v1.13以前)
  • WRC-XE5400GSA-G(v1.13以前)
  • WRC-BE72XSD-B(v1.1.1以前)
  • WRC-BE72XSD-BA(v1.1.1以前)
  • WRC-BE65QSD-B(v1.1.0以前)
  • WRC-W702-B(v1.1.0以前)
  • WAB-BE187-M(v1.1.10以前)★
  • WAB-BE72-M(v1.1.3以前)★
  • WAB-BE36-M(v1.1.3以前)★
  • WAB-BE36-S(v1.1.3以前)★

脆弱性の詳細

 想定される影響は製品によって異なるが、次のような影響を受ける可能性がある。

設定ファイルのバックアップにおけるハードコードされた暗号鍵の使用(CVE-2026-25107)

 暗号化鍵を知っている攻撃者によって、当該製品の設定ファイルを偽造される可能性がある。CVSS v4のスコアは6.9、CVSS v3のスコアは6.5。

ping_ip_addrパラメータの処理におけるOSコマンドインジェクション(CVE-2026-35506)

 当該製品にログインしたユーザーが送信した細工されたリクエストを処理することによって、任意のOSコマンドを実行される可能性がある。CVSS v4のスコアは8.6、CVSS v3のスコアは7.2。

特定のURLへのアクセスにおける認証欠如(CVE-2026-40621)

 特定のURLを知っている攻撃者によって、認証無しに当該製品を操作される可能性がある。CVSS v4のスコアは9.3、CVSS v3のスコアは9.8。

usernameパラメータの処理におけるOSコマンドインジェクション(CVE-2026-42062)

 認証なしで任意のOSコマンドを実行される可能性がある。CVSS v4のスコアは9.3、CVSS v3のスコアは9.8。

hostnameパラメータ処理の不備に起因する格納型クロスサイトスクリプティング(CVE-2026-42948)

 当該製品の管理者ユーザーの1人が細工された入力を行った場合、その後にログインした別の管理者ユーザーのウェブブラウザー上で、任意のスクリプトを実行される可能性がある。CVSS v4のスコアは4.8、CVSS v3のスコアは4.8。

languageパラメータの検証欠如(CVE-2026-42950)

 当該製品にログインした状態のユーザーが細工されたページにアクセスした場合、管理画面を操作できなくなる可能性がある。CVSS v4のスコアは5.1、CVSS v3のスコアは4.3。

CSRF対策の不備(CVE-2026-42961)

 当該製品にログインした状態のユーザーが細工されたページにアクセスした場合、意図しない操作をさせられる可能性がある。CVSS v4のスコアは5.1、CVSS v3のスコアは4.3。