-
タグ
タグ
- アーキテクト
- アジャイル開発
- アプリ開発
- インシデントレスポンス
- イベントレポート
- カスタマーストーリー
- カルチャー
- 官民学・業界連携
- 企業市民活動
- クラウド
- クラウドインテグレーション
- クラブ活動
- コーポレート
- 広報・マーケティング
- 攻撃者グループ
- 子育て、生活
- サイバー救急センター
- サイバー救急センターレポート
- サイバー攻撃
- サイバー犯罪
- サイバー・グリッド・ジャパン
- サプライチェーンリスク
- システム開発
- 趣味
- 障がい者採用
- 初心者向け
- 白浜シンポジウム
- 情シス向け
- 情報モラル
- 情報漏えい対策
- 人材開発・教育
- 診断30周年
- スレットインテリジェンス
- すごうで
- セキュリティ
- セキュリティ診断
- セキュリティ診断レポート
- 脆弱性
- 脆弱性管理
- ゼロトラスト
- 対談
- ダイバーシティ
- テレワーク
- データベース
- デジタルアイデンティティ
- 働き方改革
- 標的型攻撃
- プラス・セキュリティ人材
- モバイルアプリ
- ライター紹介
- ラックセキュリティアカデミー
- ランサムウェア
- リモートデスクトップ
- 1on1
- AI
- ASM
- CIS Controls
- CODE BLUE
- CTF
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- DevSecOps
- DX
- EC
- EDR
- FalconNest
- IoT
- IR
- JSOC
- JSOC INSIGHT
- LAC Security Insight
- NDR
- OWASP
- SASE
- Tech Crawling
- XDR
LAC Advisory No.143
デジタルペンテスト部の飯田です。
エレコム株式会社が提供する複数の壁埋め込み型アクセスポイントにインターネット側から認証なしに攻撃されうるスタックベースのバッファオーバーフローの脆弱性(CVE-2026-24465)が存在することを発見しました。現時点では本脆弱性を悪用した攻撃は確認されていませんが、インターネット側からアクセス可能な当該機器が存在することを確認しているため注意が必要です。
この脆弱性を悪用された場合、管理画面にアクセス可能な攻撃者によって、認証なしに任意コードを実行される恐れがあるため、早急に対策を行う必要があります。
当該製品はマンションやホテルなどにおいて壁に埋め込む形で設置されており、利用者側では取り換えやファームウェアのアップデートができないケースが多いと推測されます。マンションの管理会社やオーナー、ホテルの運営会社の皆さまには、設置しているアクセスポイントの製品機種をご確認いただき、該当する場合はファームウェアアップデートや置き換えをおすすめします。
影響を受ける製品
- WAB-S733IW2-PD v5.5.00およびそれ以前のバージョン
- WAB-S733IW-AC v5.5.00およびそれ以前のバージョン
- WAB-S733IW-PD すべてのバージョン
- WAB-S300IW2-PD v5.5.00およびそれ以前のバージョン
- WAB-S300IW-AC v5.5.00およびそれ以前のバージョン
- WAB-S300IW-PD すべてのバージョン
対策方法
WAB-S733IW-PDおよびWAB-S300IW-PDについては製品開発者の告知ページにある通り、修正ファームウェアが提供されないため製品の使用を停止してください※1。
それ以外の機種については修正ファームウェアが提供されているため、アップデートを行ってください※2。
※1 一部ネットワーク製品における脆弱性への対応および代替製品への切り替えのお願い | エレコム株式会社 ELECOM
※2 無線LANルーターなど一部のネットワーク製品のセキュリティ向上のためのファームウェアアップデート・対策実施のお願い | エレコム株式会社 ELECOM
解説
当該製品は法人向けの壁埋め込み型のアクセスポイントであり、マンションやホテルなどのマルチメディアコンセントの一部として組み込まれるものです。
CVE-2026-24465は当該製品の管理画面に対して細工されたリクエストを送ることで、認証なしに任意コードを実行することが可能な脆弱性です。CVSS v3/v4共に深刻度評価は「緊急」となっており、悪用された場合に大きな影響が発生する可能性があります。
発見者
飯田 雅裕(株式会社ラック デジタルペンテスト部)
公表までの経緯
本脆弱性は、情報セキュリティ早期警戒パートナーシップに基づき、ラックからIPAに報告し、JPCERT/CCによって開発者との調整が行われました。
JVN#94012927
JVNDB-2026-000019
CVE番号
この記事をシェアする
関連記事
タグ
- アーキテクト
- アジャイル開発
- アプリ開発
- インシデントレスポンス
- イベントレポート
- カスタマーストーリー
- カルチャー
- 官民学・業界連携
- 企業市民活動
- クラウド
- クラウドインテグレーション
- クラブ活動
- コーポレート
- 広報・マーケティング
- 攻撃者グループ
- もっと見る +
- 子育て、生活
- サイバー救急センター
- サイバー救急センターレポート
- サイバー攻撃
- サイバー犯罪
- サイバー・グリッド・ジャパン
- サプライチェーンリスク
- システム開発
- 趣味
- 障がい者採用
- 初心者向け
- 白浜シンポジウム
- 情シス向け
- 情報モラル
- 情報漏えい対策
- 人材開発・教育
- 診断30周年
- スレットインテリジェンス
- すごうで
- セキュリティ
- セキュリティ診断
- セキュリティ診断レポート
- 脆弱性
- 脆弱性管理
- ゼロトラスト
- 対談
- ダイバーシティ
- テレワーク
- データベース
- デジタルアイデンティティ
- 働き方改革
- 標的型攻撃
- プラス・セキュリティ人材
- モバイルアプリ
- ライター紹介
- ラックセキュリティアカデミー
- ランサムウェア
- リモートデスクトップ
- 1on1
- AI
- ASM
- CIS Controls
- CODE BLUE
- CTF
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- DevSecOps
- DX
- EC
- EDR
- FalconNest
- IoT
- IR
- JSOC
- JSOC INSIGHT
- LAC Security Insight
- NDR
- OWASP
- SASE
- Tech Crawling
- XDR