Escanear grátis
Análise pendenteCVE-2026-35506

CVE-2026-35506: Command Injection em ELECOM WRC-BE72XSD-B

Plataforma

linux

Componente

elecom-wrc-be72xsd-b

Ver no NVD
Salvar

Uma vulnerabilidade de injeção de comandos foi descoberta no Access Point Wireless LAN ELECOM WRC-BE72XSD-B. Esta falha permite que um atacante, após autenticação, execute comandos arbitrários no sistema operacional através da manipulação do parâmetro 'pingipaddr'. As versões afetadas são 1.1.0–v1.1.1 e anteriores. A mitigação imediata envolve a revisão das configurações e a restrição do acesso ao dispositivo.

Impacto e Cenários de Ataque

A exploração bem-sucedida desta vulnerabilidade permite a um atacante autenticado executar comandos arbitrários no sistema operacional subjacente do Access Point. Isso pode levar à tomada de controle completa do dispositivo, permitindo o acesso não autorizado à rede, roubo de informações confidenciais e a instalação de malware. O impacto potencial é significativo, especialmente em ambientes onde o Access Point atua como um ponto de entrada para a rede interna. A capacidade de executar comandos arbitrários abre portas para diversas ações maliciosas, como a modificação de configurações de rede, a interceptação de tráfego e o lançamento de ataques a outros dispositivos na rede.

Contexto de Exploração

A vulnerabilidade foi publicada em 2026-05-13. Não há informações disponíveis sobre a existência de exploits públicos ou campanhas ativas de exploração. A probabilidade de exploração é considerada média, dada a necessidade de autenticação para explorar a falha. A ausência de um exploit público não diminui a importância de implementar as medidas de mitigação recomendadas.

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
Exposição na InternetAlta

CISA SSVC

Exploraçãonone
Automatizávelno
Impacto Técnicototal

Vetor CVSS

INTELIGÊNCIA DE AMEAÇAS· CVSS 3.1CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H7.2HIGHAttack VectorNetworkComo o atacante alcança o alvoAttack ComplexityLowCondições necessárias para explorarPrivileges RequiredHighNível de autenticação necessárioUser InteractionNoneSe a vítima precisa tomar uma açãoScopeUnchangedImpacto além do componente afetadoConfidentialityHighRisco de exposição de dados sensíveisIntegrityHighRisco de modificação não autorizada de dadosAvailabilityHighRisco de interrupção de serviçonextguardhq.com · Pontuação Base CVSS v3.1
O que significam essas métricas?
Attack Vector
Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity
Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
Privileges Required
Alto — conta de administrador ou privilegiada necessária.
User Interaction
Nenhuma — ataque automático e silencioso. A vítima não faz nada.
Scope
Inalterado — impacto limitado ao componente vulnerável.
Confidentiality
Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
Integrity
Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
Availability
Alto — falha completa ou esgotamento de recursos. Negação de serviço total.

Software Afetado

Componenteelecom-wrc-be72xsd-b
FornecedorELECOM CO.,LTD.
Versão mínima1.1.0
Versão máximav1.1.1 and earlier

Classificação de Fraqueza (CWE)

CWE-78

Linha do tempo

  1. Reservado
  2. Publicada

Mitigação e Soluções Alternativas

A mitigação primária para esta vulnerabilidade é a atualização para uma versão corrigida do firmware, que atualmente não está disponível. Enquanto isso, medidas paliativas incluem a revisão rigorosa das configurações do Access Point para garantir que apenas usuários autorizados tenham acesso à interface de administração. Implementar regras de firewall para restringir o acesso ao Access Point a partir de redes não confiáveis também pode ajudar a reduzir o risco. Além disso, monitorar os logs do sistema em busca de atividades suspeitas, como tentativas de execução de comandos não autorizados, é crucial. A implementação de um Web Application Firewall (WAF) com regras específicas para detectar e bloquear tentativas de injeção de comandos pode fornecer uma camada adicional de proteção.

Como corrigirtraduzindo…

Actualice el firmware del dispositivo ELECOM WRC-BE72XSD-B a una versión corregida. Consulte el sitio web de ELECOM para obtener más información sobre las actualizaciones de firmware y las instrucciones de instalación.

Perguntas frequentes

O que é CVE-2026-35506 — Injeção de Comandos no ELECOM WRC-BE72XSD-B?

CVE-2026-35506 é uma vulnerabilidade de injeção de comandos no Access Point Wireless LAN ELECOM WRC-BE72XSD-B, permitindo a execução de comandos arbitrários após autenticação. Atinge versões 1.1.0–v1.1.1 e anteriores.

Estou afetado pelo CVE-2026-35506 no ELECOM WRC-BE72XSD-B?

Se você estiver utilizando o Access Point ELECOM WRC-BE72XSD-B nas versões 1.1.0–v1.1.1 ou anteriores, você está potencialmente afetado. Verifique a versão do firmware e implemente as medidas de mitigação.

Como corrigir CVE-2026-35506 no ELECOM WRC-BE72XSD-B?

A correção oficial (atualização de firmware) ainda não está disponível. Implemente medidas paliativas como revisão de configurações, restrição de acesso e monitoramento de logs.

CVE-2026-35506 está sendo ativamente explorado?

Atualmente, não há relatos de exploração ativa, mas a vulnerabilidade é considerada de alta severidade e a implementação de medidas de mitigação é recomendada.

Onde posso encontrar o aviso oficial da ELECOM para CVE-2026-35506?

Consulte o site oficial da ELECOM ou as fontes de segurança cibernética para obter o aviso oficial relacionado ao CVE-2026-35506 e o Access Point WRC-BE72XSD-B.

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs
ao vivoverificação gratuita

Experimente agora — sem conta

Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.

Escaneamento manualAlertas por Slack/e-mailMonitoramento ContínuoRelatórios de marca branca

Arraste e solte seu arquivo de dependências

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...