HIGHCVE-2026-4975CVSS 8.8

Tenda AC15 POSTリクエスト setcfm formSetCfm メモリ破壊

プラットフォーム

tenda

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

Tenda AC15 15.03.05.19に、スタックベースのバッファオーバーフローの脆弱性（CVE-2026-4975）が存在します。この脆弱性を悪用すると、リモートの攻撃者がシステムを制御できる可能性があります。影響を受けるのはTenda AC15のバージョン15.03.05.19です。現在、この脆弱性に対する公式な修正パッチは提供されていません。

影響と攻撃シナリオ

Tenda AC15ルーター（バージョン15.03.05.19）において、CVE-2026-4975として知られる重大な脆弱性が特定されました。このセキュリティ上の欠陥は、POSTリクエストハンドラーの'formSetCfm'関数、特に'/goform/setcfm'ファイル内に存在します。攻撃者は、'funcpara1'引数を操作することで、この脆弱性を悪用し、スタックベースのバッファオーバーフローを引き起こす可能性があります。この脆弱性の深刻度はCVSSスケールで8.8と評価されており、高いリスクを示しています。攻撃がリモートで実行可能であり、エクスプロイトが公に公開されているという事実は、悪意のある攻撃者による利用が容易になるため、状況をさらに悪化させます。この脆弱性により、攻撃者はデバイスの制御を奪い、接続されているネットワークを侵害し、機密情報にアクセスする可能性があります。

悪用の状況

Tenda AC15のCVE-2026-4975脆弱性は、'/goform/setcfm'ファイルへの悪意のあるPOSTリクエストを通じて悪用されます。攻撃者は、'funcpara1'パラメータを操作してスタック上のメモリを上書きし、任意のコードの実行を可能にします。この脆弱性のリモート性により、攻撃者はネットワーク上の任意の場所、またはインターネットからでも、ルーターにアクセスできる場合に脆弱性を悪用できます。エクスプロイトの公開により、個人のハッカーから組織的なグループまで、幅広い攻撃者による複製と使用が容易になります。公式な修正プログラムがないことは状況を悪化させ、ファームウェアのアップデートが実装されるか、代替の軽減策が講じられるまで、ユーザーが脆弱なままになります。

リスク対象者翻訳中…

Home users and small businesses relying on Tenda AC15 routers, particularly those with internet-exposed configurations, are at risk. Users who have not updated their router firmware are especially vulnerable. Shared hosting environments utilizing Tenda AC15 routers as gateway devices also face increased risk.

検出手順翻訳中…

• linux / server:

journalctl -u tenda -g "/goform/setcfm"

• generic web:

curl -v https://<router_ip>/goform/setcfm | grep -i "funcpara1"

攻撃タイムライン

2026-03-27Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

NextGuard10–15% まだ脆弱

EPSS

0.08% (24% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能

影響を受けるソフトウェア

ベンダーTenda

影響範囲修正版

15.03.05.19 – 15.03.05.19—

弱点分類 (CWE)

CWE-121 CWE-119

タイムライン

予約済み2026-03-27
公開日2026-03-27
更新日2026-03-30
EPSS 更新日2026-04-04

未パッチ — 公開から58日経過

緩和策と回避策

現時点では、Tendaからこの脆弱性を修正するための公式な修正プログラムは提供されていません。主な推奨事項は、利用可能になり次第、最新のファームウェアバージョンに更新することです。その間は、リスクを軽減するために追加のセキュリティ対策を実施することをお勧めします。これには、ルーターのデフォルトパスワードを強力で一意のパスワードに変更し、必要でない場合はルーターへのリモートアクセスを無効にし、ファイアウォールを有効にすることが含まれます。不審なアクティビティを監視することで、潜在的な攻撃を検出し、対応するのに役立ちます。Tendaからのセキュリティアップデートに関する公式な連絡に注意を払い、リリースされたらすべてのパッチを適用することが重要です。アップデートが実行可能なオプションでない場合は、デバイスの交換を検討してください。

修正方法翻訳中…

Actualizar el firmware del router Tenda AC15 a una versión posterior a la 15.03.05.19. Si no hay una actualización disponible, considerar reemplazar el dispositivo por uno con soporte y actualizaciones de seguridad activas.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-4975（Buffer Overflow）とは何ですか？

これはこのセキュリティ脆弱性のためのユニークな識別子です。

CVE-2026-4975 による影響を受けていますか？

はい、非常に危険です。この脆弱性は公開されており、リモートで悪用される可能性があります。

CVE-2026-4975 を修正するにはどうすればよいですか？

現時点では、アップデートは利用できません。Tendaからの公式な連絡にご注意ください。

CVE-2026-4975 は積極的に悪用されていますか？

パスワードを変更し、リモートアクセスを無効にし、ファイアウォールを有効にしてください。

CVE-2026-4975 の公式アドバイザリはどこで確認できますか？

アップデートが利用できない場合は、交換を検討するのが安全なオプションです。