Escanear gratis
Análisis pendienteCVE-2026-42948

CVE-2026-42948: XSS in ELECOM WAB-BE187-M Wireless LAN

Plataforma

other

Componente

elecom-wab-be187-m

Ver en NVD
Guardar

Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) almacenada en los dispositivos de punto de acceso inalámbrico ELECOM WAB-BE187-M. Esta falla permite a un administrador malintencionado o comprometido inyectar scripts maliciosos que se ejecutarán en el navegador de otros administradores al acceder a páginas afectadas. Las versiones afectadas son 1.1.3–v1.1.10 y anteriores. Se recomienda actualizar el firmware a una versión corregida.

Impacto y Escenarios de Ataque

La vulnerabilidad XSS almacenada permite a un atacante ejecutar código JavaScript arbitrario en el contexto del navegador de la víctima. En este caso, un atacante podría inyectar un script malicioso en la interfaz de administración del punto de acceso, que se ejecutaría cuando otro administrador visite la página afectada. Esto podría resultar en el robo de credenciales de administrador, la modificación de la configuración del dispositivo o incluso el acceso a la red interna. El impacto es significativo, ya que compromete la seguridad de la interfaz de administración.

Contexto de Explotación

La vulnerabilidad CVE-2026-42948 fue publicada el 13 de mayo de 2026. La probabilidad de explotación se considera media, ya que requiere que un atacante pueda inyectar código en la interfaz de administración. No se han reportado campañas activas de explotación conocidas al momento de la publicación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta

CISA SSVC

Explotaciónnone
Automatizableno
Impacto Técnicopartial

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N4.8MEDIUMAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityLowCondiciones necesarias para explotarPrivileges RequiredHighNivel de autenticación requeridoUser InteractionRequiredSi la víctima debe realizar una acciónScopeChangedImpacto más allá del componente afectadoConfidentialityLowRiesgo de exposición de datos sensiblesIntegrityLowRiesgo de modificación no autorizada de datosAvailabilityNoneRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required
Alto — se requiere cuenta de administrador o privilegiada.
User Interaction
Requerida — la víctima debe abrir un archivo, hacer clic en un enlace o visitar una página.
Scope
Cambiado — el ataque puede pivotar a otros sistemas más allá del componente vulnerable.
Confidentiality
Bajo — acceso parcial o indirecto a algunos datos.
Integrity
Bajo — el atacante puede modificar algunos datos con alcance limitado.
Availability
Ninguno — sin impacto en disponibilidad.

Software Afectado

Componenteelecom-wab-be187-m
ProveedorELECOM CO.,LTD.
Versión mínima1.1.3
Versión máximav1.1.10 and earlier

Clasificación de Debilidad (CWE)

CWE-79

Cronología

  1. Reservado
  2. Publicada

Mitigación y Workarounds

La mitigación principal es actualizar el firmware del ELECOM WAB-BE187-M a una versión corregida que solucione la vulnerabilidad XSS. Mientras tanto, se recomienda implementar medidas de seguridad adicionales, como habilitar el Content Security Policy (CSP) para restringir las fuentes de scripts permitidas y educar a los administradores sobre los riesgos de XSS. Implementar un firewall de aplicaciones web (WAF) puede ayudar a filtrar solicitudes maliciosas.

Cómo corregirlotraduciendo…

Actualice el firmware del dispositivo ELECOM WAB-BE187-M a una versión corregida. Consulte la página de soporte de ELECOM para obtener más información sobre las actualizaciones de firmware disponibles: https://www.elecom.co.jp/news/security/20260512-01/

Preguntas frecuentes

What is CVE-2026-42948 — XSS in ELECOM WAB-BE187-M Wireless LAN?

CVE-2026-42948 es una vulnerabilidad de Cross-Site Scripting (XSS) almacenada en el punto de acceso ELECOM WAB-BE187-M que permite la ejecución de scripts maliciosos en el navegador de un administrador. Tiene una severidad MEDIA (CVSS 4.8).

Am I affected by CVE-2026-42948 in ELECOM WAB-BE187-M?

Si está utilizando una versión del ELECOM WAB-BE187-M anterior a 1.1.3–v1.1.10, es vulnerable a esta vulnerabilidad. Revise la versión de su dispositivo.

How do I fix CVE-2026-42948 in ELECOM WAB-BE187-M?

La solución recomendada es actualizar el firmware del dispositivo a una versión corregida. Implemente CSP y eduque a los administradores.

Is CVE-2026-42948 being actively exploited?

Hasta el momento, no se han reportado campañas activas de explotación conocidas, pero se recomienda monitorear las fuentes de inteligencia de amenazas.

Where can I find the official ELECOM advisory for CVE-2026-42948?

Consulte el sitio web oficial de ELECOM o su canal de soporte técnico para obtener la información más reciente sobre esta vulnerabilidad y las actualizaciones de seguridad.

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
liveescaneo gratuito

Pruébalo ahora — sin cuenta

Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...