Gratis scannen
Analyse in behandelingCVE-2026-42062

CVE-2026-42062: Command Injection in ELECOM WRC-BE72XSD-B

Platform

linux

Component

elecom-wrc-be72xsd-b

Bekijk op NVD
Opslaan

CVE-2026-42062 beschrijft een ernstige Command Injection kwetsbaarheid in de ELECOM WRC-BE72XSD-B draadloze LAN access point. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige OS-commando's uit te voeren zonder authenticatie. De kwetsbaarheid treft versies 1.1.0–v1.1.1 en eerder. Een patch is beschikbaar, upgrade uw apparaat om de risico's te verminderen.

Impact en Aanvalsscenarios

De impact van deze Command Injection kwetsbaarheid is aanzienlijk. Een succesvolle exploitatie stelt een aanvaller in staat om volledige controle over het access point te verkrijgen. Dit kan leiden tot data-exfiltratie, configuratiewijzigingen, het installeren van malware en het gebruiken van het access point als springplank voor aanvallen op andere systemen in het netwerk. Omdat geen authenticatie vereist is, kan een aanvaller vanaf afstand toegang krijgen tot het systeem. De kwetsbaarheid kan vergelijkbare gevolgen hebben als andere Command Injection kwetsbaarheden waarbij de aanvaller de mogelijkheid heeft om de onderliggende besturingssysteem te manipuleren.

Uitbuitingscontext

De kwetsbaarheid is openbaar bekend gemaakt op 13 mei 2026. Er is momenteel geen informatie beschikbaar over actieve campagnes die deze specifieke kwetsbaarheid exploiteren, maar de ernst van de kwetsbaarheid (CVSS 9.8) suggereert dat dit in de toekomst mogelijk kan gebeuren. Er zijn geen publiekelijk beschikbare Proof-of-Concept (POC) exploits bekend, maar de Command Injection aard van de kwetsbaarheid maakt het relatief eenvoudig voor aanvallers om een exploit te ontwikkelen. De kwetsbaarheid is niet opgenomen in KEV of EPSS, maar de hoge CVSS score duidt op een potentieel hoog risico.

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog
Rapporten2 dreigingsrapporten

CISA SSVC

Exploitatienone
Automatiseerbaaryes
Technische Impacttotal

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H9.8CRITICALAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityLowVereiste omstandigheden om te exploiterenPrivileges RequiredNoneVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeUnchangedImpact buiten het getroffen onderdeelConfidentialityHighRisico op blootstelling van gevoelige dataIntegrityHighRisico op ongeautoriseerde gegevenswijzigingAvailabilityHighRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required
Geen — geen authenticatie vereist om te exploiteren.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Ongewijzigd — impact beperkt tot het kwetsbare component.
Confidentiality
Hoog — volledig verlies van vertrouwelijkheid. Aanvaller kan alle gegevens lezen.
Integrity
Hoog — aanvaller kan alle gegevens schrijven, aanpassen of verwijderen.
Availability
Hoog — volledige crash of uitputting van resources. Totale denial of service.

Getroffen Software

Componentelecom-wrc-be72xsd-b
LeverancierELECOM CO.,LTD.
Minimumversie1.1.0
Maximumversiev1.1.1 and earlier

Zwakheidsclassificatie (CWE)

CWE-78

Tijdlijn

  1. Gereserveerd
  2. Gepubliceerd

Mitigatie en Workarounds

De primaire mitigatie is het upgraden van de ELECOM WRC-BE72XSD-B access point naar een beveiligde versie. Controleer de website van ELECOM voor de meest recente firmware-updates. Indien een upgrade momenteel niet mogelijk is, overweeg dan het implementeren van een Web Application Firewall (WAF) of proxy om de username parameter te filteren en kwaadaardige invoer te blokkeren. Configureer de access point met de strengste mogelijke beveiligingsinstellingen, zoals het uitschakelen van onnodige services en het wijzigen van de standaardwachtwoorden. Na de upgrade, controleer de systeemlogboeken op verdachte activiteiten en bevestig dat de kwetsbaarheid is verholpen door het opnieuw proberen van de exploitatie met een bekende payload.

Hoe te verhelpenwordt vertaald…

Actualice el firmware del dispositivo WRC-BE72XSD-B a una versión corregida. Consulte el sitio web de ELECOM para obtener más información y las actualizaciones de firmware disponibles: https://www.elecom.co.jp/news/security/20260512-01/

Veelgestelde vragen

Wat is CVE-2026-42062 — Command Injection in ELECOM WRC-BE72XSD-B?

CVE-2026-42062 is een kritieke Command Injection kwetsbaarheid in de ELECOM WRC-BE72XSD-B access point, waardoor ongeauthenticeerde aanvallers willekeurige OS-commando's kunnen uitvoeren.

Am I affected by CVE-2026-42062 in ELECOM WRC-BE72XSD-B?

Ja, als u een ELECOM WRC-BE72XSD-B access point gebruikt met versie 1.1.0–v1.1.1 of eerder, bent u kwetsbaar voor deze kwetsbaarheid.

How do I fix CVE-2026-42062 in ELECOM WRC-BE72XSD-B?

Upgrade uw ELECOM WRC-BE72XSD-B access point naar de nieuwste beveiligde firmware versie. Indien een upgrade niet mogelijk is, implementeer dan mitigaties zoals een WAF.

Is CVE-2026-42062 being actively exploited?

Er is momenteel geen informatie beschikbaar over actieve campagnes die deze specifieke kwetsbaarheid exploiteren, maar de ernst van de kwetsbaarheid maakt exploitatie mogelijk.

Where can I find the official ELECOM advisory for CVE-2026-42062?

Controleer de website van ELECOM voor de meest recente firmware-updates en beveiligingsadviezen met betrekking tot CVE-2026-42062.

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken
livefree scan

Probeer het nu — geen account

Upload een manifest (composer.lock, package-lock.json, WordPress pluginlijst…) of plak uw componentenlijst. U ontvangt direct een kwetsbaarheidsrapport. Een bestand uploaden is slechts het begin: met een account krijgt u continue monitoring, Slack/e-mail alerts, multi-project en white-label rapporten.

Manual scanSlack/email alertsscanZone.capMonitorWhite-label reports

Sleep uw afhankelijkheidsbestand hierheen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...