HIGHCVE-2026-5550CVSS 8.8

Tenda AC10 httpd fromSysToolChangePwd スタックベースのオーバーフロー

プラットフォーム

tenda

コンポーネント

tenda

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

CVE-2026-5550 は、Tenda AC10 ルーターのファームウェアバージョン 16.03.10.10multiTDE01 に存在するバッファオーバーフロー脆弱性です。この脆弱性は、攻撃者がリモートからシステムを制御できる可能性があり、深刻なセキュリティリスクをもたらします。影響を受けるバージョンは 16.03.10.10multiTDE01 であり、複数のエンドポイントが影響を受ける可能性があります。現時点では公式な修正パッチは提供されていません。

影響と攻撃シナリオ

Tenda AC10 ルーター (バージョン 16.03.10.10multiTDE01) に、スタックベースのバッファオーバーフローの脆弱性が発見されました。この脆弱性は CVE-2026-5550 として追跡されており、/bin/httpd ファイル内の fromSysToolChangePwd 関数に存在します。リモートの攻撃者は、入力を操作することでこの欠陥を利用し、デバイス上で任意のコードを実行する可能性があります。この脆弱性は CVSS スコア 8.8 で評価されており、高いリスクを示しています。影響は複数の AC10 デバイスに及ぶ可能性があり、このルーターを使用しているネットワークにとって重大なリスクとなります。メーカーからの修正プログラムの提供がないため、注意が必要であり、代替のリスク軽減戦略を検討する必要があります。

悪用の状況

Tenda AC10 の CVE-2026-5550 脆弱性は、/bin/httpd 内の fromSysToolChangePwd 関数を介してリモートで悪用できます。攻撃者は、スタックベースのバッファオーバーフローをトリガーするために特別に作成されたリクエストを送信する可能性があります。この関数の入力検証の欠如により、メモリの操作が可能になり、悪意のあるコードの実行が可能になる可能性があります。悪用がリモートであり、複数のデバイスに影響を与える可能性があるという事実は、リスクの深刻度を高めています。KEV (Knowledge Entry Validation) の欠如は、この脆弱性が広く知られていない可能性があることを示唆しており、検出されないまま悪用されるリスクを高める可能性があります。

リスク対象者翻訳中…

Small and medium-sized businesses (SMBs) relying on Tenda AC10 routers for their network connectivity are particularly at risk. Home users who have deployed this router model are also vulnerable. Shared hosting environments utilizing Tenda AC10 routers for network management should be prioritized for patching or mitigation.

検出手順翻訳中…

• linux / server:

journalctl -u httpd -f | grep -i "fromSysToolChangePwd"

• linux / server:

ps aux | grep httpd | grep -i "fromSysToolChangePwd"

• generic web: Use curl to send a crafted request to the password change endpoint, monitoring for abnormal server responses or crashes.

curl -v -X POST -d '...' <router_ip>/bin/httpd

攻撃タイムライン

2026-04-05Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.05% (15% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響total

影響を受けるソフトウェア

コンポーネントtenda

ベンダーTenda

影響範囲修正版

16.03.10.10_multi_TDE01 – 16.03.10.10_multi_TDE01—

弱点分類 (CWE)

CWE-121 CWE-119

タイムライン

予約済み2026-04-04
公開日2026-04-05
更新日2026-04-07
EPSS 更新日2026-04-12

未パッチ — 公開から49日経過

緩和策と回避策

Tenda から CVE-2026-5550 の公式な修正プログラムがリリースされていないため、軽減策はリスク軽減戦略に焦点を当てています。Tenda AC10 を重要なシステムから分離するために、ネットワークのセグメンテーションを強くお勧めします。必須でない場合は、ルーターへのリモートアクセスを無効にすることが重要な措置です。ルーターに関連するネットワークトラフィックを監視することで、潜在的な悪用試行を検出するのに役立ちます。全体的なセキュリティを強化するために、ネットワーク上の他のデバイスをより新しいファームウェアに更新することを検討してください。直接的な解決策はありませんが、これらの対策は攻撃対象領域を大幅に削減し、脆弱性の潜在的な影響を最小限に抑えることができます。

修正方法翻訳中…

Actualice el firmware del dispositivo Tenda AC10 a una versión corregida por el fabricante. Consulte el sitio web de soporte de Tenda para obtener las últimas actualizaciones de firmware y siga las instrucciones proporcionadas para actualizar el dispositivo de forma segura.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5550 とは何ですか？（Tenda AC10 httpd の Buffer Overflow）

これはこのセキュリティ脆弱性のためのユニークな識別子です。

Tenda AC10 httpd の CVE-2026-5550 による影響を受けていますか？

いいえ、現在利用可能なアップデートはありません。Tenda のウェブサイトで今後のアップデートを監視することをお勧めします。

Tenda AC10 httpd の CVE-2026-5550 を修正するにはどうすればよいですか？

ネットワークセグメンテーションやリモートアクセス無効化など、推奨される軽減策を実装してください。

CVE-2026-5550 は積極的に悪用されていますか？

可能性はありますが、公的な確認はありません。KEV の欠如は、広く知られていない可能性があることを示唆していますが、リスクは依然として存在します。

CVE-2026-5550 に関する Tenda AC10 httpd の公式アドバイザリはどこで確認できますか？

National Vulnerability Database (NVD) などの脆弱性データベースで、より詳しい情報を検索できます。脆弱性が正式にリストされるとすぐに検索できます。