無料スキャン
分析待ちCVE-2026-40621

CVE-2026-40621: Authentication Bypass in ELECOM WRC-BE72XSD-B

プラットフォーム

linux

コンポーネント

elecom-wrc-be72xsd-b

NVDで見る
保存

CVE-2026-40621は、ELECOM WRC-BE72XSD-B無線LANアクセスポイントにおいて、認証を必要としない特定のURLへのアクセスを許可する認証バイパスの脆弱性です。この脆弱性を悪用されると、攻撃者は機密情報にアクセスしたり、不正な設定変更を行ったりする可能性があります。影響を受けるバージョンは1.1.0–v1.1.1およびそれ以前です。ELECOMはファームウェアのアップデートでこの脆弱性を修正しています。

影響と攻撃シナリオ

この脆弱性は、認証なしでアクセス可能なURLが存在するため、攻撃者は機密情報(設定ファイル、ログデータなど)を窃取する可能性があります。さらに、不正な設定変更や、アクセスポイントの制御権奪取も考えられます。攻撃者は、このアクセスポイントを経由して、内部ネットワークへの侵入を試みる可能性もあります。この脆弱性の悪用は、ネットワーク全体のセキュリティに深刻な影響を与える可能性があります。類似の脆弱性は、認証設定の不備から発生することが多く、企業ネットワークにおけるアクセス制御の重要性を改めて認識させる事例となります。

悪用の状況

本脆弱性は、2026年5月13日に公開されました。現時点では、KEV(Kernel Exploitability Vulnerability)への登録状況は不明です。EPSS(Exploit Prediction Scoring System)スコアは、公開情報から判断できません。公的に利用可能なPoC(Proof of Concept)は確認されていませんが、認証バイパスの脆弱性であるため、悪用コードが公開される可能性は否定できません。NVD(National Vulnerability Database)およびCISA(Cybersecurity and Infrastructure Security Agency)の情報を継続的に監視し、最新の脅威動向を把握することが重要です。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出
レポート1 脅威レポート

CISA SSVC

悪用状況none
自動化可能yes
技術的影響total

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H9.8CRITICALAttack VectorNetwork攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredNone攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityHigh機密データ漏洩のリスクIntegrityHigh不正データ改ざんのリスクAvailabilityHighサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
なし — 認証不要。資格情報なしで悪用可能。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
高 — 機密性の完全喪失。全データが読み取り可能。
Integrity
高 — 任意のデータの書き込み・変更・削除が可能。
Availability
高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。

影響を受けるソフトウェア

コンポーネントelecom-wrc-be72xsd-b
ベンダーELECOM CO.,LTD.
最小バージョン1.1.0
最大バージョンv1.1.1 and earlier

弱点分類 (CWE)

CWE-288

タイムライン

  1. 予約済み
  2. 公開日

緩和策と回避策

この脆弱性への対応として、まずELECOMから提供される最新のファームウェアにアップデートすることを推奨します。アップデートが利用できない場合は、アクセス制御リスト(ACL)を設定し、認証を必要とするURLへのアクセスを制限するなどの代替策を講じる必要があります。また、WAF(Web Application Firewall)を導入し、不正なアクセスを検知・遮断することも有効です。定期的なセキュリティ監査を実施し、アクセス制御の設定が適切に行われているか確認することも重要です。アップデート後、アクセスポイントの設定を確認し、不要なサービスが無効化されていることを確認してください。

修正方法翻訳中…

Actualice el firmware del dispositivo ELECOM WRC-BE72XSD-B a una versión corregida que implemente la autenticación adecuada para el acceso a URLs específicas. Consulte la página de soporte de ELECOM para obtener más información sobre las actualizaciones de firmware disponibles: https://www.elecom.co.jp/news/security/20260512-01/

よくある質問

CVE-2026-40621 — 認証バイパスはELECOM WRC-BE72XSD-Bで何ですか?

CVE-2026-40621は、ELECOM WRC-BE72XSD-B無線LANアクセスポイントにおいて、認証を必要としない特定のURLへのアクセスを許可する認証バイパスの脆弱性です。攻撃者はこの脆弱性を悪用して、機密情報にアクセスしたり、不正な設定変更を行ったりする可能性があります。

CVE-2026-40621はELECOM WRC-BE72XSD-Bで影響を受けますか?

はい、ELECOM WRC-BE72XSD-Bのバージョン1.1.0–v1.1.1およびそれ以前のバージョンが影響を受けます。最新のファームウェアにアップデートすることで、この脆弱性を解消できます。

CVE-2026-40621はELECOM WRC-BE72XSD-Bでどのように修正しますか?

この脆弱性は、ELECOMから提供される最新のファームウェアにアップデートすることで修正されます。アップデートが利用できない場合は、アクセス制御リスト(ACL)を設定し、認証を必要とするURLへのアクセスを制限するなどの代替策を講じる必要があります。

CVE-2026-40621は積極的に悪用されていますか?

現時点では、公的に利用可能なPoCは確認されていませんが、認証バイパスの脆弱性であるため、悪用コードが公開される可能性は否定できません。最新の脅威動向を常に監視することが重要です。

CVE-2026-40621のELECOM WRC-BE72XSD-Bの公式アドバイザリはどこで入手できますか?

ELECOMの公式ウェブサイトで、製品のサポートページから最新のアドバイザリを入手できます。製品名とCVE IDを検索することで、関連情報を確認できます。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...