Scanner gratuitement
Analyse en attenteCVE-2026-35506

CVE-2026-35506: Command Injection in ELECOM WRC-BE72XSD-B

Plateforme

linux

Composant

elecom-wrc-be72xsd-b

Voir sur NVD
Sauvegarder

Une vulnérabilité d'injection de commandes a été découverte dans les points d'accès sans fil ELECOM WRC-BE72XSD-B. Cette faille permet à un attaquant authentifié d'exécuter des commandes arbitraires sur le système. Les versions affectées sont 1.1.0–v1.1.1 et antérieures. Une correction est en cours de développement par le fournisseur.

Impact et Scénarios d'Attaque

L'exploitation réussie de cette vulnérabilité permet à un attaquant de prendre le contrôle du point d'accès sans fil. L'attaquant peut exécuter des commandes système, accéder à des données sensibles stockées sur l'appareil, modifier les paramètres de configuration du réseau et potentiellement se déplacer latéralement vers d'autres systèmes connectés au même réseau. Le risque est aggravé par le fait que l'injection de commandes peut être déclenchée par un utilisateur authentifié, ce qui rend la détection plus difficile. Bien qu'il n'y ait pas de cas d'exploitation publique connus, la nature de la vulnérabilité la rend potentiellement dangereuse.

Contexte d'Exploitation

La vulnérabilité CVE-2026-35506 a été publiée le 13 mai 2026. La probabilité d'exploitation est considérée comme moyenne en raison de la nécessité d'une authentification préalable. Il n'y a pas d'indicateurs de campagnes d'exploitation actives à ce jour. La vulnérabilité n'est pas répertoriée sur KEV ni sur EPSS, mais sa sévérité élevée justifie une attention particulière.

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO
Exposition InternetÉlevée

CISA SSVC

Exploitationnone
Automatisableno
Impact Techniquetotal

Vecteur CVSS

RENSEIGNEMENT SUR LES MENACES· CVSS 3.1CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H7.2HIGHAttack VectorNetworkComment l'attaquant atteint la cibleAttack ComplexityLowConditions requises pour exploiterPrivileges RequiredHighNiveau d'authentification requisUser InteractionNoneSi une action de la victime est requiseScopeUnchangedImpact au-delà du composant affectéConfidentialityHighRisque d'exposition de données sensiblesIntegrityHighRisque de modification non autorisée de donnéesAvailabilityHighRisque d'interruption de servicenextguardhq.com · Score de base CVSS v3.1
Que signifient ces métriques?
Attack Vector
Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
Attack Complexity
Faible — aucune condition spéciale requise. Exploitable de manière fiable.
Privileges Required
Élevé — un compte administrateur ou privilégié est requis.
User Interaction
Aucune — attaque automatique et silencieuse. La victime ne fait rien.
Scope
Inchangé — impact limité au composant vulnérable.
Confidentiality
Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
Integrity
Élevé — l'attaquant peut écrire, modifier ou supprimer toutes les données.
Availability
Élevé — panne complète ou épuisement des ressources. Déni de service total.

Logiciel Affecté

Composantelecom-wrc-be72xsd-b
FournisseurELECOM CO.,LTD.
Version minimale1.1.0
Version maximalev1.1.1 and earlier

Classification de Faiblesse (CWE)

CWE-78

Chronologie

  1. Réservé
  2. Publiée

Mitigation et Contournements

En attendant une mise à jour du firmware, plusieurs mesures d'atténuation peuvent être prises. Il est fortement recommandé de désactiver temporairement la fonctionnalité de ping si elle n'est pas essentielle. Si la désactivation n'est pas possible, configurez un pare-feu pour restreindre l'accès au point d'accès sans fil uniquement aux adresses IP autorisées. L'utilisation d'un Web Application Firewall (WAF) peut également aider à bloquer les requêtes malveillantes. Surveillez attentivement les journaux système pour détecter toute activité suspecte, en particulier les tentatives d'exécution de commandes non autorisées. Après la mise à jour, vérifiez la version du firmware et assurez-vous qu'elle est la version corrigée.

Comment corrigertraduction en cours…

Actualice el firmware del dispositivo ELECOM WRC-BE72XSD-B a una versión corregida. Consulte el sitio web de ELECOM para obtener más información sobre las actualizaciones de firmware y las instrucciones de instalación.

Questions fréquentes

Que signifie CVE-2026-35506 — Injection de commandes dans ELECOM WRC-BE72XSD-B ?

CVE-2026-35506 décrit une vulnérabilité d'injection de commandes dans le point d'accès sans fil ELECOM WRC-BE72XSD-B, permettant l'exécution de commandes arbitraires par un utilisateur authentifié.

Suis-je affecté par CVE-2026-35506 dans ELECOM WRC-BE72XSD-B ?

Oui, si vous utilisez un point d'accès sans fil ELECOM WRC-BE72XSD-B avec les versions 1.1.0–v1.1.1 ou antérieures, vous êtes affecté par cette vulnérabilité.

Comment corriger CVE-2026-35506 dans ELECOM WRC-BE72XSD-B ?

Mettez à jour le firmware vers une version corrigée dès qu'elle sera disponible. En attendant, appliquez les mesures d'atténuation recommandées, telles que la désactivation du ping ou la configuration d'un pare-feu.

CVE-2026-35506 est-il activement exploité ?

À ce jour, il n'y a pas d'indicateurs d'exploitation active de CVE-2026-35506, mais la vulnérabilité reste un risque potentiel.

Où puis-je trouver l'avis officiel ELECOM pour CVE-2026-35506 ?

Consultez le site web d'ELECOM ou leur page de support pour obtenir les dernières informations et les avis de sécurité concernant CVE-2026-35506.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE
en directfree scan

Essayez maintenant — sans compte

scanZone.subtitle

Scan manuelSlack/email alertsContinuous monitoringWhite-label reports

Glissez-déposez votre fichier de dépendances

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...