Scanner gratuitement
Analyse en attenteCVE-2026-42948

CVE-2026-42948: XSS dans ELECOM WAB-BE187-M Wireless LAN

Plateforme

other

Composant

elecom-wab-be187-m

Voir sur NVD
Sauvegarder

Une vulnérabilité de Cross-Site Scripting (XSS) stockée a été découverte dans les points d'accès sans fil ELECOM WAB-BE187-M. Cette faille permet à un administrateur malveillant d'injecter des scripts malveillants qui seront ensuite exécutés dans le navigateur d'autres administrateurs. Les versions affectées sont 1.1.3–v1.1.10 et antérieures. Une correction est en cours de développement.

Impact et Scénarios d'Attaque

L'exploitation réussie de cette vulnérabilité XSS stockée permet à un attaquant de compromettre le compte d'un autre administrateur. L'attaquant peut voler des informations d'identification, modifier les paramètres de configuration du point d'accès sans fil, ou même prendre le contrôle total de l'appareil. Le risque est exacerbé par le fait que l'attaquant n'a besoin que d'un accès limité à l'interface d'administration pour injecter le script malveillant. Cela pourrait permettre à un utilisateur interne malveillant de compromettre l'ensemble du réseau.

Contexte d'Exploitation

La vulnérabilité CVE-2026-42948 a été publiée le 13 mai 2026. La probabilité d'exploitation est considérée comme moyenne, car elle nécessite un accès à l'interface d'administration. Il n'y a pas d'indicateurs de campagnes d'exploitation actives à ce jour. La vulnérabilité n'est pas répertoriée sur KEV ni sur EPSS.

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée
Rapports1 rapport de menace

CISA SSVC

Exploitationnone
Automatisableno
Impact Techniquepartial

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N4.8MEDIUMAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredHighNiveau d'authentification requisUser InteractionRequiredSi une action de la victime est requiseScopeChangedImpact au-delà du composant affectéConfidentialityLowRisque d'exposition de données sensiblesIntegrityLowRisque de modification non autorisée de donnéesAvailabilityNoneRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Élevé — un compte administrateur ou privilégié est requis.
User Interaction
Requise — la victime doit ouvrir un fichier, cliquer sur un lien ou visiter une page.
Scope
Modifié — l'attaque peut pivoter au-delà du composant vulnérable.
Confidentiality
Faible — accès partiel ou indirect à certaines données.
Integrity
Faible — l'attaquant peut modifier certaines données avec un impact limité.
Availability
Aucun — aucun impact sur la disponibilité.

Logiciel Affecté

Composantelecom-wab-be187-m
FournisseurELECOM CO.,LTD.
Version minimale1.1.3
Version maximalev1.1.10 and earlier

Classification de Faiblesse (CWE)

CWE-79

Chronologie

  1. Réservé
  2. Publiée

Mitigation et Contournements

En attendant une mise à jour du firmware, il est crucial de valider et d'échapper toutes les entrées utilisateur avant de les stocker dans la base de données. Activez le Content Security Policy (CSP) pour restreindre les sources de scripts autorisées. Surveillez attentivement les journaux système pour détecter toute activité suspecte, en particulier les tentatives d'injection de scripts. Limitez le nombre d'administrateurs ayant accès à l'interface d'administration. Après la mise à jour, vérifiez que les entrées utilisateur sont correctement validées et échappées.

Comment corrigertraduction en cours…

Actualice el firmware del dispositivo ELECOM WAB-BE187-M a una versión corregida. Consulte la página de soporte de ELECOM para obtener más información sobre las actualizaciones de firmware disponibles: https://www.elecom.co.jp/news/security/20260512-01/

Questions fréquentes

Que signifie CVE-2026-42948 — XSS dans ELECOM WAB-BE187-M Wireless LAN ?

CVE-2026-42948 décrit une vulnérabilité XSS stockée dans le point d'accès sans fil ELECOM WAB-BE187-M, permettant l'exécution de scripts malveillants dans le navigateur d'un administrateur.

Suis-je affecté par CVE-2026-42948 dans ELECOM WAB-BE187-M Wireless LAN ?

Oui, si vous utilisez un point d'accès sans fil ELECOM WAB-BE187-M avec les versions 1.1.3–v1.1.10 ou antérieures, vous êtes affecté par cette vulnérabilité.

Comment corriger CVE-2026-42948 dans ELECOM WAB-BE187-M Wireless LAN ?

Mettez à jour le firmware vers une version corrigée dès qu'elle sera disponible. En attendant, appliquez les mesures d'atténuation recommandées, telles que la validation des entrées utilisateur et l'activation du CSP.

CVE-2026-42948 est-il activement exploité ?

À ce jour, il n'y a pas d'indicateurs d'exploitation active de CVE-2026-42948, mais la vulnérabilité reste un risque potentiel.

Où puis-je trouver l'avis officiel ELECOM pour CVE-2026-42948 ?

Consultez le site web d'ELECOM ou leur page de support pour obtenir les dernières informations et les avis de sécurité concernant CVE-2026-42948.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE
en directfree scan

Essayez maintenant — sans compte

scanZone.subtitle

Scan manuelSlack/email alertsContinuous monitoringWhite-label reports

Glissez-déposez votre fichier de dépendances

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...