HIGHCVE-2026-3804CVSS 8.8

MAL-2026-3804: Malicious Package in bui-react-10components

プラットフォーム

tenda

コンポーネント

tenda_vul

修正版

1.0.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

MAL-2026-3804は、npmパッケージリポジトリに登録されているbui-react-10componentsにおいて検出された悪意のあるパッケージです。このパッケージは、悪意のある活動に関連するドメインと通信し、潜在的なセキュリティリスクをもたらします。影響を受けるバージョンは99.0.0以下です。OpenSSF Package Analysisプロジェクトによって特定され、速やかな対応が必要です。

影響と攻撃シナリオ

この脆弱性は、攻撃者が悪意のあるドメインとの通信を通じて、機密情報を窃取したり、システムに不正なコードを注入したりする可能性があります。攻撃者は、このパッケージを悪意のある目的で使用し、ネットワーク全体に影響を及ぼす可能性があります。特に、このパッケージを依存関係として使用しているアプリケーションは、攻撃の対象となる可能性があります。類似の悪意のあるパッケージの事例では、ユーザーの認証情報や機密データが盗難されたり、マルウェアがインストールされたりするケースが報告されています。

悪用の状況

この脆弱性は、OpenSSF Package Analysisプロジェクトによって特定され、2026年5月16日に公開されました。現時点では、公開されているPoCは確認されていませんが、悪意のある活動に関連するドメインとの通信が確認されているため、攻撃のリスクは高いと考えられます。CISA KEVカタログへの登録状況は不明です。

リスク対象者翻訳中…

Small and medium-sized businesses (SMBs) and home users relying on Tenda i3 routers are at significant risk. Shared hosting environments utilizing these routers for network management are particularly vulnerable, as a compromise of one router could potentially impact multiple users. Legacy configurations with default passwords and outdated firmware exacerbate the risk.

検出手順翻訳中…

• tenda: Monitor router logs for unusual activity related to /goform/WifiMacFilterSet. • tenda: Use network monitoring tools to detect connections to the router's management interface from unexpected sources. • generic web: Use curl/wget to test the /goform/WifiMacFilterSet endpoint with oversized or malformed input and observe error responses. • generic web: Monitor access logs for requests containing suspicious parameters in the /goform/WifiMacFilterSet URL.

攻撃タイムライン

2026-03-09Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.08% (23% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントtenda_vul

ベンダーTenda

影響範囲修正版

1.0.0.6(2204) – 1.0.0.6(2204)1.0.1

弱点分類 (CWE)

CWE-121 CWE-119

タイムライン

予約済み2026-03-08
公開日2026-03-09
更新日2026-03-10
EPSS 更新日2026-03-23

未パッチ — 公開から76日経過

緩和策と回避策

この脆弱性への主な対策は、bui-react-10componentsパッケージを削除するか、信頼できる代替パッケージに移行することです。npmを使用してパッケージをアンインストールできます。また、プロジェクトの依存関係を定期的に確認し、脆弱性のあるパッケージを特定することが重要です。WAFやセキュリティスキャンツールを導入することで、悪意のある通信を検知し、ブロックすることができます。パッケージの更新は、セキュリティリスクを軽減するための重要なステップです。

修正方法翻訳中…

Actualizar el firmware del router Tenda i3 a una versión posterior a 1.0.0.6(2204) para corregir la vulnerabilidad de desbordamiento de búfer basada en pila. Consultar el sitio web del fabricante para obtener la última versión del firmware y las instrucciones de actualización.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

MAL-2026-3804 — 悪意のあるパッケージはbui-react-10componentsで何ですか？

MAL-2026-3804は、bui-react-10componentsパッケージ（バージョン99.0.0以下）において、悪意のあるドメインとの通信が確認された脆弱性です。

MAL-2026-3804 in bui-react-10componentsで影響を受けますか？

bui-react-10componentsパッケージのバージョン99.0.0以下を使用している場合、この脆弱性の影響を受ける可能性があります。

MAL-2026-3804 in bui-react-10componentsを修正するにはどうすればよいですか？

bui-react-10componentsパッケージを削除するか、信頼できる代替パッケージに移行してください。

MAL-2026-3804は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、悪意のある活動に関連するドメインとの通信が確認されているため、攻撃のリスクは高いと考えられます。

MAL-2026-3804のbui-react-10componentsの公式アドバイザリはどこで入手できますか？

OpenSSF Package Analysisプロジェクトのレポートを参照してください: [https://ossf.dev/package-analysis/](https://ossf.dev/package-analysis/)