CVE-2026-42948ELECOM无线LAN接入点设备中存在存储型跨站脚本(XSS)漏洞。该漏洞是由于设备对管理员输入的数据缺乏适当的过滤和验证所致。当一名具有高权限的管理员在管理界面输入恶意脚本数据时,这些数据会被存储在服务器端。随后,当其他管理员访问包含该恶意数据的页面时,脚本将在其浏览器中执行,可能导致会话劫持或恶意操作。
该漏洞属于存储型跨站脚本攻击(Stored XSS)。漏洞根源在于ELECOM无线LAN接入点的Web管理后台未对特定输入字段(如设备名称、SSID描述等)进行严格的HTML实体编码或输入过滤。攻击者必须拥有管理员级别的权限(PR:H)才能发起攻击。利用过程中,攻击者在后台配置界面注入恶意JavaScript代码,系统将其原样存储。当其他管理员登录并访问该配置页面时,服务器会直接读取并显示被污染的数据,导致受害者的浏览器解析并执行恶意脚本。由于CVSS向量包含S:C(Scope Changed),该脚本可能绕过部分同源策略限制,进而窃取管理员的Session ID、Cookie或执行敏感操作,完全控制设备。