HIGHCVE-2026-4906CVSS 8.8

Tenda AC5 POST リクエスト WizardHandle decodePwd スタックベースバッファオーバーフロー

プラットフォーム

tenda

コンポーネント

tenda-ac5-firmware

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

CVE-2026-4906 は、Tenda AC5 ファームウェアの脆弱性です。これは、/goform/WizardHandle ファイルの decodePwd 関数における問題で、WANT/WANS 引数の操作によりスタックベースのバッファオーバーフローが発生する可能性があります。この脆弱性により、攻撃者はリモートから悪意のあるコードを実行できる可能性があります。影響を受けるバージョンは 15.03.06.47–15.03.06.47 です。現時点では、公式な修正パッチは提供されていません。

影響と攻撃シナリオ

Tenda AC5ルーター（バージョン15.03.06.47）において、スタックベースのバッファオーバーフローの脆弱性が確認されました。具体的には、コンポーネント/goform/WizardHandle内の関数'decodePwd'が、POSTリクエストで送信される'WANT/WANS'パラメータを介して操作される可能性があります。この脆弱性はCVSSスコア8.8（高）であり、攻撃者がリモートでコードを実行することを可能にします。このエクスプロイトが公に公開されているため、この脆弱性は現在悪用可能であり、このルーターのユーザーにとって重大なリスクをもたらします。深刻な点は、攻撃者がデバイスを制御し、接続されているネットワークを侵害し、機密情報にアクセスする可能性があることです。

悪用の状況

この脆弱性のエクスプロイトは公開されており、攻撃者はこれを利用してTenda AC5ルーターを攻撃できます。この脆弱性は、ルーターがPOSTリクエストで'WANT/WANS'パラメータを処理する方法にあります。攻撃者は、スタックバッファをオーバーフローさせ、任意のコードの実行を可能にするように設計された悪意のあるリクエストを送信できます。このエクスプロイトの遠隔性は特に危険であり、攻撃者はネットワークアクセスのある場所から脆弱性を悪用できます。公式の修正がないため、予防措置を講じる緊急性が高まっています。

リスク対象者翻訳中…

Small businesses and home users relying on Tenda AC5 routers are at risk, particularly those with exposed router configurations or weak security practices. Shared hosting environments utilizing Tenda AC5 routers for network connectivity are also vulnerable. Legacy configurations with default passwords or outdated firmware settings increase the risk of exploitation.

攻撃タイムライン

2026-03-27Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.08% (24% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントtenda-ac5-firmware

ベンダーTenda

影響範囲修正版

15.03.06.47 – 15.03.06.47—

弱点分類 (CWE)

CWE-121 CWE-119

タイムライン

予約済み2026-03-26
公開日2026-03-27
更新日2026-03-30
EPSS 更新日2026-04-03

未パッチ — 公開から58日経過

緩和策と回避策

現在、Tendaからこの脆弱性に対する公式の修正（fix: none）は提供されていません。最も効果的な軽減策は、Tenda AC5ルーターバージョン15.03.06.47の使用を直ちに停止することです。継続使用が必要な場合は、ネットワークセグメンテーション、リモートアクセス制限、ネットワークトラフィックの不審なアクティビティ監視などの追加のセキュリティ対策を実装してください。Tendaがこの脆弱性を修正するために、できるだけ早くファームウェアアップデートをリリースすることが重要です。それまでの間、ユーザーはリスクを認識し、ネットワークを保護するための予防措置を講じる必要があります。

修正方法

Tenda AC5 ルーターのファームウェアを 15.03.06.47 以降のバージョンにアップグレードしてください。最新のファームウェアバージョンとアップグレード手順については、ベンダーの Web サイトを参照してください。利用可能なアップグレードがない場合は、デバイスの交換を検討してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-4906 とは何ですか？（Tenda AC5 Firmware の Buffer Overflow）

スタックベースのバッファオーバーフローは、プログラムがスタック上のバッファに保持できるデータ量を超えるデータを書き込もうとするときに発生します。これにより、隣接するデータが上書きされ、攻撃者が悪意のあるコードを実行できるようになる可能性があります。

Tenda AC5 Firmware の CVE-2026-4906 による影響を受けていますか？

Tenda AC5ルーターでファームウェアバージョン15.03.06.47を使用している場合は、脆弱です。ルーターの管理インターフェースでファームウェアバージョンを確認してください。

Tenda AC5 Firmware の CVE-2026-4906 を修正するにはどうすればよいですか？

Tendaがアップデートを提供しない場合は、より安全なモデルでルーターを置き換えることを検討してください。

CVE-2026-4906 は積極的に悪用されていますか？

はい、この脆弱性を悪用する攻撃者は、ルーターまたはネットワークに接続されているデバイスに保存されている機密データにアクセスできる可能性があります。

CVE-2026-4906 に関する Tenda AC5 Firmware の公式アドバイザリはどこで確認できますか？

ネットワーク監視ツールは、疑わしいアクティビティを検出するのに役立ちます。アドバイスについては、セキュリティの専門家にご相談ください。