HIGHCVE-2026-5155CVSS 8.8

Tenda CH22 の Parameter AdvSetWan fromAdvSetWan におけるスタックベースオーバーフロー

プラットフォーム

tenda

コンポーネント

vuldb_new

修正版

1.0.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

Tenda CH22 1.0.0.1に、スタックバッファオーバーフローの脆弱性(CVE-2026-5155)が発見されました。この脆弱性は、Parameter Handlerの/goform/AdvSetWanのfromAdvSetWan関数におけるwanmode引数の処理に起因し、リモートからの攻撃によって悪用される可能性があります。影響を受けるバージョンは1.0.0.1です。現在、公式な修正パッチは提供されていません。

影響と攻撃シナリオ

Tenda CH22 ルーターのバージョン 1.0.0.1 (CVE-2026-5155) に重大な脆弱性が発見されました。このセキュリティ上の欠陥は、/goform/AdvSetWan ファイルの fromAdvSetWan 関数内に存在し、特に wanmode 引数の処理に関連しています。攻撃者は、この引数を操作することでこの脆弱性を悪用し、スタックベースのバッファオーバーフローを引き起こす可能性があります。この脆弱性の深刻度は CVSS スコア 8.8 で評価されており、高いリスクを示しています。最も懸念されるのは、この脆弱性がリモートで悪用可能であることです。つまり、攻撃者は物理的なアクセスなしにデバイスを侵害できます。さらに、エクスプロイトの詳細が公開されており、攻撃のリスクが大幅に高まっています。

悪用の状況

CVE-2026-5155 により、リモートの攻撃者は Tenda CH22 ルーター上で任意のコードを実行できます。このエクスプロイトは、/goform/AdvSetWan ファイルに特別に作成されたリクエストを送信し、バッファオーバーフローを引き起こすために wanmode パラメーターを操作することで機能します。エクスプロイト情報の公開により、さまざまな技術スキルを持つ攻撃者がその使用が容易になります。これにより、Tenda CH22 ルーターが攻撃対象となる可能性が高まり、データ損失、デバイスの制御、またはルーターがボットネットの一部として使用される可能性があります。Tenda からの公式な修正がないことは状況をさらに悪化させ、アップデートが実装されるまでユーザーを脆弱な状態にします。

リスク対象者翻訳中…

Small businesses and home users relying on Tenda CH22 routers are at significant risk. Shared hosting environments utilizing these routers to manage network connectivity are particularly vulnerable, as a compromise could affect multiple tenants. Legacy configurations with default passwords or outdated firmware exacerbate the risk.

検出手順翻訳中…

• tenda: Monitor router logs for requests to /goform/AdvSetWan with unusually long or malformed wanmode parameters. Use network intrusion detection systems (NIDS) to identify traffic patterns associated with known exploit attempts.

grep 'wanmode=[a-zA-Z0-9]{200}' /var/log/router.log

攻撃タイムライン

2026-03-30Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.03% (8% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響total

影響を受けるソフトウェア

コンポーネントvuldb_new

ベンダーTenda

影響範囲修正版

1.0.0.1 – 1.0.0.11.0.1

弱点分類 (CWE)

CWE-121 CWE-119

タイムライン

予約済み2026-03-30
公開日2026-03-30
更新日2026-04-02
EPSS 更新日2026-04-07

未パッチ — 公開から55日経過

緩和策と回避策

現在、Tenda はこの脆弱性に対する修正を提供していません。最適な軽減策は、利用可能になり次第、新しいファームウェアバージョンに更新することです。その間は、悪用のリスクを軽減するために予防措置を講じることをお勧めします。これらの対策には、ルーターのデフォルトパスワードを強力で一意のパスワードに変更する、不要な場合はルーターへのリモートアクセスを無効にする、最新のセキュリティパッチでファームウェアを最新の状態に保つなどがあります。疑わしいアクティビティを監視することで、潜在的な攻撃を検出し、対応するのに役立ちます。影響を受けるユーザーは、ファームウェアアップデートの可用性に関する情報を得るために、Tenda に直接連絡することを強くお勧めします。

修正方法

Tenda CH22 ルーターのファームウェアを、スタックベースのバッファオーバーフローの脆弱性を修正した 1.0.0.1 より新しいバージョンにアップデートしてください。最新のファームウェアバージョンとアップデートの手順については、製造元のウェブサイトを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5155 とは何ですか？（vuldb_new の Buffer Overflow）

バッファオーバーフローは、プログラムが割り当てられたメモリバッファの境界を超えてデータを書き込もうとするときに発生します。これにより、隣接するデータが上書きされ、悪意のあるコードの実行が可能になる可能性があります。

vuldb_new の CVE-2026-5155 による影響を受けていますか？

Tenda CH22 ルーターでファームウェアバージョン 1.0.0.1 を使用している場合は、影響を受けている可能性があります。ルーターの管理インターフェースでファームウェアバージョンを確認してください。

vuldb_new の CVE-2026-5155 を修正するにはどうすればよいですか？

アップデートが利用できない場合は、パスワードの変更やリモートアクセスを無効にするなど、推奨される軽減策を実装してください。

CVE-2026-5155 は積極的に悪用されていますか？

CVE-2026-5155 に関する詳細情報は、National Vulnerability Database (NVD) などの脆弱性データベースや、サイバーセキュリティのウェブサイトで確認できます。

CVE-2026-5155 に関する vuldb_new の公式アドバイザリはどこで確認できますか？

利用可能な情報によると、Tenda はこの脆弱性に対する修正（解決策）を提供していません。最新情報については、Tenda に直接連絡することをお勧めします。