Escanear grátis
Análise pendenteCVE-2026-42950

CVE-2026-42950: Broken Admin Page in ELECOM WAB-BE187-M

Plataforma

linux

Componente

elecom-wab-be187-m

Ver no NVD
Salvar

A vulnerabilidade CVE-2026-42950 afeta os pontos de acesso sem fio ELECOM WAB-BE187-M. Ela reside na ausência de validação adequada do parâmetro de idioma, permitindo que um atacante, ao induzir um usuário logado a acessar uma página maliciosa, comprometa a página de administração no navegador do usuário. As versões afetadas são 1.1.3–v1.1.10 e anteriores. A correção está disponível em versões posteriores.

Impacto e Cenários de Ataque

Um atacante pode explorar essa vulnerabilidade para obter acesso não autorizado às configurações administrativas do ponto de acesso sem fio. Ao direcionar um usuário autenticado para uma página web maliciosa, o atacante pode injetar código que corrompe a página de administração exibida no navegador do usuário. Isso pode permitir a modificação de configurações de rede, acesso a credenciais armazenadas ou até mesmo o controle total do dispositivo. A exploração bem-sucedida pode resultar em uma violação significativa da confidencialidade, integridade e disponibilidade da rede protegida pelo ponto de acesso.

Contexto de Exploração

A vulnerabilidade foi publicada em 2026-05-13. Não há informações disponíveis sobre exploração ativa ou campanhas direcionadas. A probabilidade de exploração é considerada baixa, dado que a vulnerabilidade requer interação do usuário e a falta de um Proof of Concept (PoC) público. A vulnerabilidade está sendo avaliada para determinar sua severidade.

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
Exposição na InternetAlta
Relatórios1 relatório de ameaça

CISA SSVC

Exploraçãonone
Automatizávelno
Impacto Técnicopartial

Vetor CVSS

INTELIGÊNCIA DE AMEAÇAS· CVSS 3.1CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L4.3MEDIUMAttack VectorNetworkComo o atacante alcança o alvoAttack ComplexityLowCondições necessárias para explorarPrivileges RequiredNoneNível de autenticação necessárioUser InteractionRequiredSe a vítima precisa tomar uma açãoScopeUnchangedImpacto além do componente afetadoConfidentialityNoneRisco de exposição de dados sensíveisIntegrityNoneRisco de modificação não autorizada de dadosAvailabilityLowRisco de interrupção de serviçonextguardhq.com · Pontuação Base CVSS v3.1
O que significam essas métricas?
Attack Vector
Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity
Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
Privileges Required
Nenhum — sem autenticação necessária para explorar.
User Interaction
Necessária — a vítima deve abrir um arquivo, clicar em um link ou visitar uma página.
Scope
Inalterado — impacto limitado ao componente vulnerável.
Confidentiality
Nenhum — sem impacto na confidencialidade.
Integrity
Nenhum — sem impacto na integridade.
Availability
Baixo — negação de serviço parcial ou intermitente.

Software Afetado

Componenteelecom-wab-be187-m
FornecedorELECOM CO.,LTD.
Versão mínima1.1.3
Versão máximav1.1.10 and earlier

Classificação de Fraqueza (CWE)

CWE-754

Linha do tempo

  1. Reservado
  2. Publicada

Mitigação e Soluções Alternativas

A mitigação primária é atualizar o ponto de acesso sem fio ELECOM WAB-BE187-M para uma versão corrigida, assim que disponível. Enquanto a atualização não estiver disponível, considere implementar regras de firewall para restringir o acesso à página de administração apenas a endereços IP confiáveis. Além disso, monitore o tráfego de rede em busca de padrões suspeitos que possam indicar uma tentativa de exploração. Implementar uma política de segurança de navegação que bloqueie sites potencialmente maliciosos também pode ajudar a reduzir o risco.

Como corrigirtraduzindo…

Actualice el firmware del dispositivo ELECOM WAB-BE187-M a una versión corregida. Consulte el sitio web de ELECOM para obtener las últimas actualizaciones de firmware y las instrucciones de instalación.  La falta de validación del parámetro de idioma permite la exposición de la página de administración, por lo que es crucial aplicar la actualización para mitigar el riesgo.

Perguntas frequentes

O que é CVE-2026-42950 — Quebra da Página de Administração em ELECOM WAB-BE187-M?

CVE-2026-42950 é uma vulnerabilidade que permite que a página de administração de um ponto de acesso sem fio ELECOM WAB-BE187-M seja comprometida ao acessar uma página maliciosa, resultando em acesso não autorizado às configurações.

Estou afetado pelo CVE-2026-42950 em ELECOM WAB-BE187-M?

Se você estiver utilizando um ponto de acesso sem fio ELECOM WAB-BE187-M nas versões 1.1.3–v1.1.10 e anteriores, você está potencialmente afetado por esta vulnerabilidade.

Como corrigir CVE-2026-42950 em ELECOM WAB-BE187-M?

A correção é atualizar o ponto de acesso sem fio para uma versão posterior à 1.1.10. Enquanto isso, implemente regras de firewall e monitore o tráfego de rede.

CVE-2026-42950 em ELECOM WAB-BE187-M está sendo ativamente explorado?

Atualmente, não há informações disponíveis sobre exploração ativa desta vulnerabilidade, mas a probabilidade de exploração existe.

Onde posso encontrar o aviso oficial da ELECOM para CVE-2026-42950?

Consulte o site oficial da ELECOM para obter o aviso de segurança mais recente e as informações de correção para o WAB-BE187-M e CVE-2026-42950.

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs
ao vivoverificação gratuita

Experimente agora — sem conta

Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.

Escaneamento manualAlertas por Slack/e-mailMonitoramento ContínuoRelatórios de marca branca

Arraste e solte seu arquivo de dependências

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...