HIGHCVE-2026-5548CVSS 8.8

Tenda AC10 httpd fromSysToolChangePwd スタックベースのオーバーフロー

プラットフォーム

tenda

コンポーネント

tenda

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

CVE-2026-5548 は、Tenda AC10 ルーターのファームウェアバージョン 16.03.10.10multiTDE01 に存在するバッファオーバーフロー脆弱性です。この脆弱性は、攻撃者がリモートからシステムを制御できる可能性があり、深刻なセキュリティリスクをもたらします。影響を受けるバージョンは 16.03.10.10multiTDE01 であり、現時点では公式な修正パッチは提供されていません。

影響と攻撃シナリオ

Tenda AC10ルーターのバージョン16.03.10.10multiTDE01 (CVE-2026-5548)において、バッファオーバーフローの脆弱性が確認されました。この脆弱性は、ファイル/bin/httpd内の関数fromSysToolChangePwdに存在します。攻撃者は、sys.userpass引数を操作することでこの脆弱性を悪用し、デバイス上で任意のコードを実行し、ネットワークのセキュリティを侵害する可能性があります。この脆弱性の深刻度は高く、CVSSスコアは8.8であり、重大なリスクを示しています。Tendaからの公式な修正プログラムの欠如は状況を悪化させ、ユーザーが積極的な予防措置を講じる必要性を高めています。

悪用の状況

この脆弱性は、ファイル/bin/httpd内の関数fromSysToolChangePwdにあります。攻撃者は、sys.userpass引数を操作する悪意のあるHTTPリクエストを送信することで、この脆弱性を悪用できます。その結果生じるバッファオーバーフローにより、攻撃者はデバイスのメモリを上書きし、任意のコードの実行につながる可能性があります。この脆弱性のリモート性により、攻撃者はデバイスを侵害するために物理的なアクセスを必要としません。脆弱な関数の堅牢な認証の欠如は、悪用を容易にします。

リスク対象者翻訳中…

Small businesses and home users who rely on Tenda AC10 routers running the vulnerable firmware version 16.03.10.10multiTDE01 are at significant risk. Specifically, those with exposed router interfaces or weak passwords are particularly vulnerable to exploitation.

検出手順翻訳中…

• linux / server:

journalctl -u httpd -f | grep "sys.userpass"

• linux / server:

ps aux | grep httpd | grep sys.userpass

• generic web: Use curl to test the /bin/httpd endpoint with a long or malformed sys.userpass parameter and monitor for errors or unusual responses. • generic web: Review access logs for requests to /bin/httpd with suspicious userpass parameters.

攻撃タイムライン

2026-04-05Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート2 件の脅威レポート

EPSS

0.05% (15% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントtenda

ベンダーTenda

影響範囲修正版

16.03.10.10_multi_TDE01 – 16.03.10.10_multi_TDE01—

弱点分類 (CWE)

CWE-121 CWE-119

タイムライン

予約済み2026-04-04
公開日2026-04-05
更新日2026-04-06
EPSS 更新日2026-04-12

未パッチ — 公開から49日経過

緩和策と回避策

Tendaからの公式なパッチがないため、この脆弱性を軽減するには積極的なアプローチが必要です。ユーザーは、利用可能な場合はAC10のより安全なファームウェアバージョンにアップグレードすることを強くお勧めします。アップデートがない場合は、AC10デバイスをメインネットワークから分離し、重要なリソースへのアクセスを制限することをお勧めします。厳格なファイアウォールルールを実装して、デバイスへのリモートアクセスを制限することも、攻撃対象領域を減らすのに役立ちます。デバイスを積極的に監視し、潜在的な搾取試行を検出して対応することが重要です。より安全なモデルでデバイスを置き換えることを検討してください。

修正方法翻訳中…

Actualice el firmware del dispositivo Tenda AC10 a una versión corregida por el fabricante. Consulte el sitio web de soporte de Tenda para obtener la última versión del firmware y las instrucciones de actualización.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5548 とは何ですか？（Tenda AC10 httpd の Buffer Overflow）

これは、この特定の脆弱性を追跡および参照するために使用される一意の識別子です。

Tenda AC10 httpd の CVE-2026-5548 による影響を受けていますか？

割り当てられたメモリバッファの境界を超えてデータを書き込もうとするプログラムが発生するセキュリティ脆弱性の種類です。

Tenda AC10 httpd の CVE-2026-5548 を修正するにはどうすればよいですか？

パッチがないため、デバイスをネットワークから分離し、リモートアクセスを制限し、アクティビティを監視してください。

CVE-2026-5548 は積極的に悪用されていますか？

可能であれば、より安全なファームウェアバージョンにアップグレードするか、デバイスを置き換えてください。

CVE-2026-5548 に関する Tenda AC10 httpd の公式アドバイザリはどこで確認できますか？

KEV（Kernel Exploitability Vector）は、脆弱性の悪用しやすさを評価する指標です。「いいえ」は、既知の悪用ベクトルが特定されていないことを示します。