製品・ソフトウェアに関する情報

JVN脆弱性詳細

エレコム製無線LANルーターおよび無線アクセスポイントにおける複数の脆弱性

タイトル	エレコム製無線LANルーターおよび無線アクセスポイントにおける複数の脆弱性
概要	エレコム株式会社が提供する無線LANルーターおよび無線アクセスポイントには、次の複数の脆弱性が存在します。 <ul><li>easysetup.cgiおよびmenu.cgiの入力値処理の不備に起因するクロスサイトスクリプティング（CWE-79）- CVE-2024-34577、CVE-2024-42412</li><li>Telnet機能における認証の欠如（CWE-306）- CVE-2024-39300</li><li>common.cgiの入力値処理の不備に起因するスタックベースのバッファオーバーフロー（CWE-121）- CVE-2024-43689</li></ul> CVE-2024-34577 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。報告者：GMOサイバーセキュリティ byイエラエ株式会社石井健太郎氏 CVE-2024-39300 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。報告者：笹部哲郎氏 CVE-2024-42412、CVE-2024-43689 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。報告者：株式会社Flatt Security RyotaK 氏
想定される影響	想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 <ul><li>当該製品にログインした状態のユーザが細工されたウェブページにアクセスした場合、ユーザのウェブブラウザ上で任意のスクリプトを実行される（CVE-2024-34577、CVE-2024-42412）</li><li>Telnet機能を有効にしている場合、遠隔の第三者によって認証無しでログインされ、当該製品の設定を変更される（CVE-2024-39300）</li><li>細工されたHTTPリクエストを処理することで、任意のコードを実行される（CVE-2024-43689）</li></ul>
対策	[アップデートする] 開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。
公表日	2024年8月27日0:00
登録日	2024年8月27日12:28
最終更新日	2026年5月12日15:01

CVSS3.0 : 重要
スコア	8.8
ベクター	CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

影響を受けるシステム

エレコム株式会社

WAB-I1750-PS v1.5.10およびそれ以前のバージョン(CVE-2024-39300)(CVE-2024-42412、CVE-2024-43689)

WAB-M1775-PS ファームウェア v2.1.4およびそれ以前のバージョン(CVE-2024-42412、CVE-2024-43689)

WAB-S1167-PS v1.5.6およびそれ以前のバージョン(CVE-2024-42412、CVE-2024-43689)

WAB-S1775 ファームウェア v2.1.4およびそれ以前のバージョン(CVE-2024-42412、CVE-2024-43689)

WAB-S733MI v1.3.2およびそれ以前のバージョン(CVE-2024-42412、CVE-2024-43689)

WRC-X3000GS2-B ファームウェア v1.08およびそれ以前のバージョン(CVE-2024-34577)

WRC-X3000GS2-W ファームウェア v1.08およびそれ以前のバージョン(CVE-2024-34577)

WRC-X3000GS2A-B ファームウェア v1.08およびそれ以前のバージョン(CVE-2024-34577)

WRC-X3000GST2-B v1.06およびそれ以前のバージョン(CVE-2024-34577)

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2024-34577	https://www.cve.org/CVERecord?id=CVE-2024-34577
2	CVE-2024-39300	https://www.cve.org/CVERecord?id=CVE-2024-39300
3	CVE-2024-42412	https://www.cve.org/CVERecord?id=CVE-2024-42412
4	CVE-2024-43689	https://www.cve.org/CVERecord?id=CVE-2024-43689

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-119	https://jvndb.jvn.jp/ja/cwe/CWE-119.html
2	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html
3	CWE-Other	https://www.ipa.go.jp/security/vuln/scap/cwe.html

ベンダー情報

No	名前	URL
エレコム株式会社
1	無線LANルーターなど一部のネットワーク製品のセキュリティ向上のためのファームウェアアップデート実施のお知らせ	https://www.elecom.co.jp/news/security/20240827-01/

その他

No	名前	URL
JVN
1	JVN#24885537	https://jvn.jp/jp/JVN24885537/index.html

変更履歴

No	変更内容	変更日
2	[2024年11月26日] 影響を受けるシステム：内容を追記	2024年11月25日17:22
1	[2024年08月27日] 掲載	2024年8月20日15:49
3	[2026年05月12日] 影響を受けるシステム：内容を追記	2026年5月8日17:19

NVD脆弱性情報

CVE-2024-34577

概要	Cross-site scripting vulnerability exists in WRC-X3000GS2-B, WRC-X3000GS2-W, and WRC-X3000GS2A-B due to improper processing of input values in easysetup.cgi. If a user views a malicious web page while logged in to the product, an arbitrary script may be executed on the user's web browser.
公表日	2024年8月30日16:15
登録日	2024年8月30日20:00
最終更新日	2024年9月3日23:59

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:o:elecom:wrc-x3000gs2-b_firmware::::::::			1.08
実行環境
1	cpe:2.3:h:elecom:wrc-x3000gs2-b:-:::::::*

構成2		以上	以下	より上	未満
cpe:2.3:o:elecom:wrc-x3000gs2-w_firmware::::::::			1.08
実行環境
1	cpe:2.3:h:elecom:wrc-x3000gs2-w:-:::::::*

構成3		以上	以下	より上	未満
cpe:2.3:o:elecom:wrc-x3000gs2a-b_firmware::::::::			1.08
実行環境
1	cpe:2.3:h:elecom:wrc-x3000gs2a-b:-:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	https://www.elecom.co.jp/news/security/20240827-01/		Vendor Advisory
2	https://jvn.jp/en/jp/JVN24885537/		Third Party Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html

CVE-2024-39300

概要	Missing authentication vulnerability exists in Telnet function of WAB-I1750-PS v1.5.10 and earlier. When Telnet function of the product is enabled, a remote attacker may login to the product without authentication and alter the product's settings.
公表日	2024年8月30日16:15
登録日	2024年8月30日20:00
最終更新日	2024年9月3日23:57

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:o:elecom:wab-i1750-ps_firmware::::::::			1.5.10
実行環境
1	cpe:2.3:h:elecom:wab-i1750-ps:-:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	https://www.elecom.co.jp/news/security/20240827-01/		Vendor Advisory
2	https://jvn.jp/en/jp/JVN24885537/		Third Party Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-306	重要な機能に対する認証の欠如解説	https://cwe.mitre.org/data/definitions/306.html

CVE-2024-42412

概要	Cross-site scripting vulnerability exists in WAB-I1750-PS and WAB-S1167-PS due to improper processing of input values in menu.cgi. If a user views a malicious web page while logged in to the product, an arbitrary script may be executed on the user's web browser.
公表日	2024年8月30日16:15
登録日	2024年8月30日20:00
最終更新日	2024年10月28日1:35

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:o:elecom:wab-s1167-ps_firmware::::::::			1.5.6
実行環境
1	cpe:2.3:h:elecom:wab-s1167-ps:-:::::::*

構成2		以上	以下	より上	未満
cpe:2.3:o:elecom:wab-i1750-ps_firmware::::::::			1.5.10
実行環境
1	cpe:2.3:h:elecom:wab-i1750-ps:-:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	https://www.elecom.co.jp/news/security/20240827-01/		Vendor Advisory
2	https://jvn.jp/en/jp/JVN24885537/		Third Party Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html

CVE-2024-43689

概要	Stack-based buffer overflow vulnerability exists in WAB-I1750-PS and WAB-S1167-PS. By processing a specially crafted HTTP request, arbitrary code may be executed.
公表日	2024年10月21日11:15
登録日	2024年10月21日16:00
最終更新日	2024年10月24日23:02

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:o:elecom:wab-i1750-ps_firmware::::::::			1.5.10
実行環境
1	cpe:2.3:h:elecom:wab-i1750-ps:-:::::::*

構成2		以上	以下	より上	未満
cpe:2.3:o:elecom:wab-s1167-ps_firmware::::::::			1.5.6
実行環境
1	cpe:2.3:h:elecom:wab-s1167-ps:-:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	https://www.elecom.co.jp/news/security/20240827-01/		Product Vendor Advisory
2	https://jvn.jp/en/jp/JVN24885537/		Third Party Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-787	境界外書き込み	https://cwe.mitre.org/data/definitions/787.html