Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos de ELECOM

Fecha de publicación 12/05/2026
Identificador
INCIBE-2026-339
Importancia
5 - Crítica
Recursos Afectados

CVE-2026-25107

  • WRC-X3000GS2-B v1.09 y versiones anteriores
  • WRC-X3000GS2-W v1.09 y versiones anteriores
  • WRC-X3000GS2A-B v1.09 y versiones anteriores
  • WRC-X3000GST2-B v1.06 y versiones anteriores
  • WRC-X1800GS-B v1.19 y versiones anteriores
  • WRC-X1800GSA-B v1.19 y versiones anteriores
  • WRC-X1800GSH-B v1.19 y versiones anteriores
  • WRC-X6000QS-G v1.14 y versiones anteriores
  • WRC-X6000QSA-G v1.14 y versiones anteriores
  • WRC-X6000XS-G v1.12 y versiones anteriores
  • WRC-X6000XST-G v1.16 y versiones anteriores
  • WRC-XE5400GS-G v1.13 y versiones anteriores
  • WRC-XE5400GSA-G v1.13 y versiones anteriores

CVE-2026-35506, CVE-2026-40621, CVE-2026-42062

  • WRC-BE72XSD-B v1.1.1 y versiones anteriores
  • WRC-BE72XSD-BA v1.1.1 y versiones anteriores
  • WRC-BE65QSD-B v1.1.0 y versiones anteriores
  • WRC-W702-B v1.1.0 y versiones anteriores

CVE-2026-42948, CVE-2026-42950, CVE-2026-42961

  • WAB-BE187-M v1.1.10 y versiones anteriores
  • WAB-BE72-M v1.1.3 y versiones anteriores
  • WAB-BE36-M v1.1.3 y versiones anteriores
  • WAB-BE36-S v1.1.3 y versiones anteriores
Descripción

Varios investigadores han reportado 7 vulnerabilidades: 2 de severidad crítica, 1 alta y 4 medias que, en caso de ser explotadas, el producto afectado podría funcionar sin autenticación o permitir la ejecución arbitraria de comandos en el sistema.

Solución

Actualizar el firmware a la última versión según la información proporcionada por el desarrollador.

Detalle

Las vulnerabilidades de severidad crítica se describen a continuación:

  • CVE-2026-40621: ausencia de autenticación al acceder a URL específicas. El producto afectado podría funcionar sin autenticación.
  • CVE-2026-42062: inyección de comandos del sistema operativo en el procesamiento del parámetro de nombre de usuario. En caso de que un atacante explote la vulnerabilidad podría ejecutar un comando arbitrario del sistema operativo sin autenticación.
CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-35506 Alta No ELECOM
CVE-2026-40621 Crítica No ELECOM
CVE-2026-25107 Media No ELECOM
CVE-2026-42062 Crítica No ELECOM
CVE-2026-42948 Media No ELECOM
CVE-2026-42950 Media No ELECOM
CVE-2026-42961 Media No ELECOM
Listado de referencias
Multiple vulnerabilities in ELECOM wireless LAN routers and access points (May 2026)
Etiquetas