Gratis scannen
Analyse in behandelingCVE-2026-42950

CVE-2026-42950: Broken Admin Page in ELECOM WAB-BE187-M

Platform

linux

Component

elecom-wab-be187-m

Bekijk op NVD
Opslaan

CVE-2026-42950 beschrijft een kwetsbaarheid in de ELECOM WAB-BE187-M draadloze LAN access point. Door een gebrek aan validatie van de taalparameter kan een kwaadwillende pagina, bekeken door een ingelogde gebruiker, de adminpagina in de webbrowser van de gebruiker beschadigen. Deze kwetsbaarheid treft versies 1.1.3 tot en met 1.1.10. Er is momenteel geen beveiligde versie beschikbaar, mitigaties zijn noodzakelijk.

Impact en Aanvalsscenarios

Deze kwetsbaarheid stelt een aanvaller in staat om de adminpagina van de ELECOM WAB-BE187-M access point te manipuleren via een kwaadwillende webpagina. Hoewel de kwetsbaarheid niet direct leidt tot volledige controle over het apparaat, kan het compromitteren van de adminpagina leiden tot ongeautoriseerde configuratiewijzigingen, zoals het wijzigen van het Wi-Fi wachtwoord, het uitschakelen van beveiligingsfuncties of het installeren van kwaadaardige software. De impact is beperkt tot de functionaliteit van de adminpagina, maar kan aanzienlijke gevolgen hebben voor de beveiliging van het draadloze netwerk. Een succesvolle exploitatie kan leiden tot een verlies van privacy en controle over het netwerk.

Uitbuitingscontext

Er zijn momenteel geen publieke proof-of-concept exploits bekend voor CVE-2026-42950. De kwetsbaarheid is recentelijk gepubliceerd (2026-05-13) en de kans op actieve exploitatie is momenteel laag. De ernst is beoordeeld als MEDIUM (CVSS 4.3). Het is aan te raden om de situatie te blijven monitoren en updates te volgen van ELECOM.

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog
Rapporten1 dreigingsrapport

CISA SSVC

Exploitatienone
Automatiseerbaarno
Technische Impactpartial

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L4.3MEDIUMAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityLowVereiste omstandigheden om te exploiterenPrivileges RequiredNoneVereist authenticatieniveau voor aanvalUser InteractionRequiredOf het slachtoffer actie moet ondernemenScopeUnchangedImpact buiten het getroffen onderdeelConfidentialityNoneRisico op blootstelling van gevoelige dataIntegrityNoneRisico op ongeautoriseerde gegevenswijzigingAvailabilityLowRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required
Geen — geen authenticatie vereist om te exploiteren.
User Interaction
Vereist — slachtoffer moet een bestand openen, op een link klikken of een pagina bezoeken.
Scope
Ongewijzigd — impact beperkt tot het kwetsbare component.
Confidentiality
Geen — geen vertrouwelijkheidsimpact.
Integrity
Geen — geen integriteitsimpact.
Availability
Laag — gedeeltelijke of intermitterende denial of service.

Getroffen Software

Componentelecom-wab-be187-m
LeverancierELECOM CO.,LTD.
Minimumversie1.1.3
Maximumversiev1.1.10 and earlier

Zwakheidsclassificatie (CWE)

CWE-754

Tijdlijn

  1. Gereserveerd
  2. Gepubliceerd

Mitigatie en Workarounds

Aangezien er momenteel geen beveiligde versie beschikbaar is, is het essentieel om mitigaties te implementeren om de impact van CVE-2026-42950 te verminderen. Een mogelijke workaround is het beperken van de toegang tot de adminpagina via een firewall of WAF, zodat alleen geautoriseerde gebruikers toegang hebben. Daarnaast kan het configureren van de access point in een veilige modus, waarbij onnodige functies worden uitgeschakeld, de aanvalsoppervlakte verkleinen. Controleer de toegangsprotocollen en implementeer multi-factor authenticatie indien mogelijk. Verifieer na implementatie van mitigaties dat de adminpagina niet langer via een kwaadwillende pagina kan worden gecompromitteerd.

Hoe te verhelpenwordt vertaald…

Actualice el firmware del dispositivo ELECOM WAB-BE187-M a una versión corregida. Consulte el sitio web de ELECOM para obtener las últimas actualizaciones de firmware y las instrucciones de instalación.  La falta de validación del parámetro de idioma permite la exposición de la página de administración, por lo que es crucial aplicar la actualización para mitigar el riesgo.

Veelgestelde vragen

Wat is CVE-2026-42950 — Broken Admin Page in ELECOM WAB-BE187-M?

CVE-2026-42950 beschrijft een kwetsbaarheid in de ELECOM WAB-BE187-M access point waarbij een kwaadwillende pagina de adminpagina kan breken. Dit kan leiden tot ongeautoriseerde configuratiewijzigingen.

Am I affected by CVE-2026-42950 in ELECOM WAB-BE187-M?

Ja, als u versie 1.1.3 tot en met 1.1.10 van de ELECOM WAB-BE187-M draadloze LAN access point gebruikt, bent u kwetsbaar.

How do I fix CVE-2026-42950 in ELECOM WAB-BE187-M?

Er is momenteel geen beveiligde versie beschikbaar. Implementeer mitigaties zoals het beperken van de toegang tot de adminpagina en het configureren van de access point in een veilige modus.

Is CVE-2026-42950 being actively exploited?

Op dit moment zijn er geen publieke exploits bekend, maar de kwetsbaarheid is recentelijk gepubliceerd en actieve exploitatie is niet uitgesloten.

Where can I find the official ELECOM advisory for CVE-2026-42950?

Raadpleeg de website van ELECOM voor de meest recente informatie en updates over deze kwetsbaarheid. Zoek naar de officiële beveiligingsadvies voor de WAB-BE187-M.

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken
livefree scan

Probeer het nu — geen account

Upload een manifest (composer.lock, package-lock.json, WordPress pluginlijst…) of plak uw componentenlijst. U ontvangt direct een kwetsbaarheidsrapport. Een bestand uploaden is slechts het begin: met een account krijgt u continue monitoring, Slack/e-mail alerts, multi-project en white-label rapporten.

Manual scanSlack/email alertsscanZone.capMonitorWhite-label reports

Sleep uw afhankelijkheidsbestand hierheen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...