HIGHCVE-2026-5962CVSS 7.3

Tenda CH22 httpd R7WebsSecurityHandlerfunction パス・トラバーサル

プラットフォーム

tenda

コンポーネント

tenda

修正版

1.0.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

Tenda CH22のバージョン1.0.0–1.0.0.6(468)に、パス・トラバーサル脆弱性が存在します。この脆弱性は、httpdコンポーネントのR7WebsSecurityHandlerfunctionにおいて、攻撃者がファイルシステム上の機密情報にアクセスすることを可能にします。攻撃はリモートから実行可能であり、深刻なセキュリティリスクをもたらします。2026年4月9日に公開され、最新バージョンへのアップデートで修正されています。

影響と攻撃シナリオ

このパス・トラバーサル脆弱性を悪用されると、攻撃者はTenda CH22デバイスのファイルシステムを自由に閲覧できるようになります。これにより、設定ファイル、ログファイル、さらには機密情報を含むファイルへのアクセスが可能となり、デバイスの制御権を奪われるリスクがあります。攻撃者は、この脆弱性を利用して、ネットワーク内の他のデバイスへの攻撃の足がかりにすることも考えられます。類似の脆弱性は、Webサーバにおけるファイルアクセス制御の不備から発生することが多く、機密情報の漏洩やシステムの改ざんにつながる可能性があります。

悪用の状況

CVE-2026-5962は、すでにパブリックに公開されており、攻撃者が脆弱性を悪用する可能性があります。Exploit PoCが公開されているため、早急な対応が必要です。CISA KEVへの登録状況は不明ですが、公開されているPoCの存在から、攻撃の可能性は高いと評価されます。NVD（National Vulnerability Database）への登録日およびCISAの対応状況を注視してください。

リスク対象者翻訳中…

Home users and small businesses relying on Tenda CH22 routers are at risk. Those with exposed routers on the public internet or those using default configurations are particularly vulnerable. Shared hosting environments utilizing Tenda CH22 routers for network management are also at increased risk.

検出手順翻訳中…

• linux / server:

journalctl -u httpd | grep -i "path traversal"

• generic web:

curl -I http://<router_ip>/../../../../etc/passwd | head -n 1

攻撃タイムライン

2026-04-09Disclosure
disclosure
2026-04-09PoC
poc

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.06% (19% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響

影響を受けるソフトウェア

コンポーネントtenda

ベンダーTenda

影響範囲修正版

1.0.0.6(468) – 1.0.0.6(468)1.0.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-04-09
公開日2026-04-09
EPSS 更新日2026-04-17

未パッチ — 公開から45日経過

緩和策と回避策

この脆弱性への対応として、Tenda CH22のファームウェアを最新バージョンにアップデートすることを強く推奨します。アップデートが利用できない場合は、Webサーバへのアクセスを制限するファイアウォールルールを実装し、不要なファイルへのアクセスを遮断してください。また、WAF（Web Application Firewall）を導入することで、悪意のあるリクエストを検知し、攻撃をブロックすることが可能です。アップデート後、デバイスのログを確認し、不正なアクセスがないか確認してください。

修正方法翻訳中…

Actualice el firmware del dispositivo Tenda CH22 a una versión corregida que solucione la vulnerabilidad de path traversal. Consulte el sitio web oficial de Tenda o contacte con el soporte técnico para obtener la última versión del firmware.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-5962 — パス・トラバーサル脆弱性はTenda CH22で何ですか？

CVE-2026-5962は、Tenda CH22のhttpdコンポーネントにおけるパス・トラバーサル脆弱性で、攻撃者がファイルシステム上の機密情報にアクセスできる可能性があります。

CVE-2026-5962でTenda CH22を使用しています。影響を受けますか？

Tenda CH22のバージョン1.0.0–1.0.0.6(468)を使用している場合は、この脆弱性の影響を受けます。最新バージョンへのアップデートが必要です。

CVE-2026-5962でTenda CH22を修正するにはどうすればよいですか？

Tenda CH22のファームウェアを最新バージョンにアップデートしてください。アップデートが利用できない場合は、ファイアウォールルールやWAFを導入してアクセスを制限してください。

CVE-2026-5962は積極的に悪用されていますか？

CVE-2026-5962に対するExploit PoCが公開されているため、攻撃者が脆弱性を悪用する可能性があります。早急な対応が必要です。

CVE-2026-5962のTenda公式アドバイザリはどこで入手できますか？

Tendaの公式ウェブサイトまたはセキュリティページで、CVE-2026-5962に関するアドバイザリをご確認ください。