プラットフォーム
tenda
コンポーネント
tenda
修正版
1.0.1
CVE-2026-5841は、Tenda i3のHTTP Handlerにおけるパス・トラバーサル脆弱性です。攻撃者はこの脆弱性を悪用することで、本来アクセスできないファイルシステム上のファイルにアクセスできる可能性があります。この脆弱性は、Tenda i3のバージョン1.0.0–1.0.0.6(2204)に影響を与えます。公開されているPoCが存在するため、早急な対応が必要です。
このパス・トラバーサル脆弱性は、攻撃者がTenda i3デバイス上の機密情報にアクセスすることを可能にします。例えば、設定ファイル、ログファイル、またはその他の重要なデータが漏洩する可能性があります。攻撃者は、この脆弱性を悪用して、デバイスの管理インターフェースにアクセスし、設定を変更したり、悪意のあるコードを実行したりする可能性があります。この脆弱性は、ネットワーク全体のセキュリティに影響を与える可能性があり、特に複数のデバイスが同じネットワークに接続されている場合は、その影響は甚大です。類似の脆弱性は、ファイル共有サービスやWebアプリケーションでしばしば見られます。
CVE-2026-5841は、2026年4月9日に公開されました。すでにPoCが公開されており、攻撃者による悪用が懸念されます。CISA KEVカタログへの登録状況は不明ですが、PoCの存在から、攻撃の可能性は高いと評価されます。攻撃者は、公開されているPoCを参考に、この脆弱性を悪用してTenda i3デバイスを攻撃する可能性があります。
エクスプロイト状況
EPSS
0.08% (24% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応として、まずTenda i3のファームウェアを最新バージョンにアップデートすることが推奨されます。アップデートが利用できない場合は、Webアプリケーションファイアウォール(WAF)を使用して、パス・トラバーサル攻撃をブロックすることができます。また、アクセス制御リスト(ACL)を使用して、ファイルシステムへのアクセスを制限することも有効です。WAFルールとしては、ファイルパスに「..」が含まれるリクエストをブロックするルールを実装します。さらに、ログ監視を強化し、異常なファイルアクセスを検知することも重要です。アップデート後、ファイルシステムへのアクセス権限を確認し、不要なアクセスを制限してください。
Actualice el firmware del dispositivo Tenda i3 a una versión corregida por el fabricante. Consulte el sitio web de soporte de Tenda para obtener más información sobre las actualizaciones de firmware disponibles.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-5841は、Tenda i3のHTTP Handlerにおけるパス・トラバーサル脆弱性であり、攻撃者がファイルシステム上の機密情報にアクセスする可能性があります。
Tenda i3のバージョンが1.0.0–1.0.0.6(2204)である場合、この脆弱性の影響を受けます。
ファームウェアを最新バージョンにアップデートすることが推奨されます。アップデートが利用できない場合は、WAFやACLを使用して緩和策を実施してください。
PoCが公開されているため、攻撃者による悪用が懸念されており、積極的に悪用されている可能性があります。
Tendaの公式ウェブサイトでCVE-2026-5841に関するアドバイザリをご確認ください。