プラットフォーム
linux
コンポーネント
wavlink-wl-wn579a3
修正版
220323.0.1
Wavlink WL-WN579A3の/cgi-bin/login.cgiにおいて、クロスサイトスクリプティング(XSS)の脆弱性が確認されています。この脆弱性は、Hostname引数の操作によって悪用され、攻撃者は悪意のあるスクリプトを注入し、ユーザーのブラウザ上で実行させることが可能です。影響を受けるバージョンは220323です。ベンダーは迅速に対応し、修正版をリリースしています。
このXSS脆弱性を悪用されると、攻撃者はユーザーがアクセスするWebページに悪意のあるスクリプトを挿入できます。これにより、攻撃者はユーザーのCookieを盗み取ったり、ユーザーを偽のWebサイトにリダイレクトさせたり、ユーザーのブラウザ上で任意のJavaScriptコードを実行させることが可能になります。攻撃者は、ユーザーの機密情報を窃取したり、システムを不正に操作したりする可能性があります。特に、管理者権限を持つユーザーが攻撃を受けると、システム全体への影響が及ぶ可能性があります。
この脆弱性は、公開されており、悪用される可能性があります。CISA KEVカタログへの登録状況は不明です。現時点で、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、注意が必要です。ベンダーは迅速に対応し、修正版をリリースしているため、早急なアップデートを推奨します。
Small businesses and home users who rely on the Wavlink WL-WN579A3 wireless adapter for network connectivity are at risk. Environments where the device is used as a gateway or access point, potentially exposing internal network resources, face a higher level of risk. Users who have not updated their device's firmware are particularly vulnerable.
• linux / server:
journalctl -u wlan_service | grep -i "login.cgi"• generic web:
curl -I http://<device_ip>/cgi-bin/login.cgi | grep Hostnamedisclosure
エクスプロイト状況
EPSS
0.03% (10% パーセンタイル)
CISA SSVC
この脆弱性への対応策として、Wavlink WL-WN579A3を最新バージョンにアップデートすることが推奨されます。アップデートが困難な場合は、Webアプリケーションファイアウォール(WAF)やリバースプロキシを使用して、悪意のあるスクリプトの実行をブロックするルールを実装することを検討してください。また、入力値の検証を強化し、Hostname引数に対するサニタイズ処理を実装することで、攻撃のリスクを軽減できます。アップデート後、/cgi-bin/login.cgiにアクセスし、正常にログインできることを確認してください。
Wavlink WL-WN579A3 デバイスを、メーカーが提供する修正バージョンにアップデートしてください。ファームウェアのアップデート方法に関する具体的な手順については、メーカーのドキュメントまたはウェブサイトを参照してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-6559は、Wavlink WL-WN579A3の/cgi-bin/login.cgiにおけるクロスサイトスクリプティング(XSS)脆弱性です。攻撃者はHostname引数の操作により、悪意のあるスクリプトを注入できます。
Wavlink WL-WN579A3のバージョン220323を使用している場合は、影響を受ける可能性があります。最新バージョンへのアップデートを推奨します。
Wavlink WL-WN579A3を最新バージョンにアップデートしてください。アップデートが困難な場合は、WAFなどの対策を検討してください。
現時点で、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、注意が必要です。
ベンダーが迅速に対応し、修正版をリリースしているため、Wavlinkの公式ウェブサイトで最新情報を確認してください。
CVSS ベクトル