MEDIUMCVE-2026-5547CVSS 6.3

Tenda AC10 httpd formAddMacfilterRule OSコマンドインジェクション

プラットフォーム

tenda

コンポーネント

tenda

AI Confidence: highNVDEPSS 0.8%レビュー済み: 2026年5月

CVE-2026-5547 は、Tenda AC10 ルーターのファームウェアバージョン 16.03.10.10multiTDE01 に存在するコマンドインジェクションの脆弱性です。この脆弱性は、攻撃者がリモートから OS コマンドを実行することを可能にし、システムへの不正アクセスや設定変更につながる可能性があります。影響を受けるバージョンは 16.03.10.10multiTDE01 ですが、複数のエンドポイントが影響を受ける可能性があります。現時点では公式な修正パッチは提供されていません。

影響と攻撃シナリオ

Tenda AC10 ルーター (バージョン 16.03.10.10multiTDE01) において、コマンドインジェクションの脆弱性 (CVE-2026-5547) が発見されました。この脆弱性は、/bin/httpd ファイル内の formAddMacfilterRule 関数に存在します。攻撃者はこの脆弱性を悪用して、デバイス上で任意のオペレーティングシステムコマンドを実行し、ネットワークセキュリティを侵害する可能性があります。この脆弱性は CVSS スケールで 6.3 と評価されており、中程度のリスクを示しています。現在利用可能な修正プログラムがないことは状況を悪化させ、慎重なリスク評価と代替の軽減策の実施が必要となります。

悪用の状況

この脆弱性は、ルーターの Web インターフェース経由でリモートで悪用できます。攻撃者は formAddMacfilterRule 関数内の入力パラメータを操作して、オペレーティングシステムコマンドを挿入する可能性があります。これらのコマンドは、httpd プロセスの権限で実行され、攻撃者がデバイスのルートアクセスを取得する可能性があります。この脆弱性のリモート性質は、ネットワークアクセスを持つデバイスが攻撃のベクトルになる可能性があることを意味します。複数のエンドポイントへの潜在的な影響は、この脆弱性が他の Tenda モデルにも存在する可能性があることを示唆していますが、これは明示的に確認されていません。

リスク対象者翻訳中…

Small and medium-sized businesses (SMBs) and home users relying on Tenda AC10 routers running the vulnerable firmware version are at risk. Shared hosting environments utilizing Tenda AC10 routers for network management are also particularly vulnerable, as a compromise could impact multiple tenants. Users with exposed router management interfaces are at increased risk.

検出手順翻訳中…

• linux / server:

journalctl -u httpd | grep -i "formAddMacfilterRule"

• linux / server:

ps aux | grep /bin/httpd

• generic web:

curl -I http://<router_ip>/bin/httpd/formAddMacfilterRule

• generic web:

 grep -r "formAddMacfilterRule" /bin/httpd

攻撃タイムライン

2026-04-05Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.83% (75% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントtenda

ベンダーTenda

影響範囲修正版

16.03.10.10_multi_TDE01 – 16.03.10.10_multi_TDE01—

弱点分類 (CWE)

CWE-78 CWE-77

タイムライン

予約済み2026-04-04
公開日2026-04-05
更新日2026-04-06
EPSS 更新日2026-04-12

未パッチ — 公開から49日経過

緩和策と回避策

Tenda から CVE-2026-5547 の公式な修正プログラムがないため、軽減策はデバイスへの露出を制限することに重点を置く必要があります。Tenda AC10 ルーターを重要なリソースから分離するために、ネットワークセグメンテーションを強く推奨します。必須でない場合は MAC フィルタリング機能を無効にすることで、攻撃対象領域を減らすことができます。不審なアクティビティがないかネットワークトラフィックを監視することが重要です。より安全なモデルに置き換えることを検討することは、長期的な最も堅牢なソリューションです。脆弱なバージョンでない最新のファームウェアに更新することが重要なステップですが、修正を保証するものではありません。

修正方法翻訳中…

Actualice el firmware del dispositivo Tenda AC10 a una versión corregida por el fabricante. Consulte el sitio web de soporte de Tenda para obtener las últimas actualizaciones de firmware y siga las instrucciones proporcionadas para una instalación segura.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5547 とは何ですか？（Tenda AC10 の Command Injection）

これはこのセキュリティ脆弱性のためのユニークな識別子です。

Tenda AC10 の CVE-2026-5547 による影響を受けていますか？

修正プログラムがリリースされるまで、リスクを軽減するために軽減策を講じることをお勧めします。

Tenda AC10 の CVE-2026-5547 を修正するにはどうすればよいですか？

Tenda の Web サイトで最新のファームウェアバージョンを確認してください。ただし、CVE-2026-5547 の修正プログラムは確認されていません。

CVE-2026-5547 は積極的に悪用されていますか？

ファイアウォールまたは VLAN を使用して、ネットワーク上の他のデバイスから Tenda AC10 ルーターを分離します。

CVE-2026-5547 に関する Tenda AC10 の公式アドバイザリはどこで確認できますか？

ルーターをネットワークから切り離し、接続されているすべてのデバイスのパスワードを変更し、サイバーセキュリティの専門家に連絡してください。