B
今週中
ZTE製のルーター(H298AおよびH108N)において、認証なしで機密情報が漏洩する脆弱性
📌 一言でいうと
ZTE製のルーター(H298AおよびH108N)において、認証なしで機密情報が漏洩する脆弱性が発見されました。攻撃者が特定のHTTP GETリクエストを送信することで、管理者のパスワード、Wi-FiのPSK(事前共有鍵)、およびESSIDを平文で取得可能です。この脆弱性は、認証やセッション管理が不十分なことによるものです。
🔍該当判定
- ZTE製のルーター『H298A』を利用している
- ZTE製のルーター『H108N』を利用している
- 社内ネットワークのルーターにZTE製デバイスを導入している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
影響を受けるデバイスのファームウェアを最新バージョンに更新してください。また、管理画面へのアクセス制限(WAN側からのアクセス禁止)を確認してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】ZTE製ルーターにおける認証回避による資格情報漏洩 (CVE-2026-34474) 対応について
お疲れさまです。ZTE製ルーターの脆弱性に関する情報共有です。
■ 概要
ZTE H298AおよびH108Nにおいて、認証なしで管理パスワードやWi-Fiパスワード(PSK)が漏洩する脆弱性(CVE-2026-34474)が報告されました。特定のURL(/getpage.lua?pid=1000ÐCheat=1)へのリクエストにより、機密情報が平文で返されます。
■ 影響範囲
- ZTE ZXHN H298A 1.1
- ZTE ZXHN H108N 2.6
■ 対応手順
1. 社内および拠点内で上記モデルのルーターを使用しているか確認してください。
2. ベンダーから提供されている最新のファームウェアへのアップデートを適用してください。
3. ルーターの管理インターフェースが外部(WAN側)からアクセス可能になっていないか確認し、不要なアクセスを遮断してください。
■ 参考情報
- CVE-2026-34474
- Exploit-DB EDB-ID: 52592
対応優先度: 高
対応期限: 速やかに
お疲れさまです。ZTE製ルーターの脆弱性に関する情報共有です。
■ 概要
ZTE H298AおよびH108Nにおいて、認証なしで管理パスワードやWi-Fiパスワード(PSK)が漏洩する脆弱性(CVE-2026-34474)が報告されました。特定のURL(/getpage.lua?pid=1000ÐCheat=1)へのリクエストにより、機密情報が平文で返されます。
■ 影響範囲
- ZTE ZXHN H298A 1.1
- ZTE ZXHN H108N 2.6
■ 対応手順
1. 社内および拠点内で上記モデルのルーターを使用しているか確認してください。
2. ベンダーから提供されている最新のファームウェアへのアップデートを適用してください。
3. ルーターの管理インターフェースが外部(WAN側)からアクセス可能になっていないか確認し、不要なアクセスを遮断してください。
■ 参考情報
- CVE-2026-34474
- Exploit-DB EDB-ID: 52592
対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] Credential Exposure in ZTE Routers (CVE-2026-34474)
Dear IT Administration Team,
We are sharing information regarding a critical vulnerability in ZTE routers.
■ Overview
An unauthenticated credential exposure vulnerability (CVE-2026-34474) has been identified in ZTE H298A and H108N routers. An attacker can retrieve the administrator password, WLAN PSK, and ESSID in plaintext by sending a single HTTP GET request to /getpage.lua?pid=1000ÐCheat=1.
■ Affected Scope
- ZTE ZXHN H298A 1.1
- ZTE ZXHN H108N 2.6
■ Mitigation Steps
1. Identify if the aforementioned router models are deployed within the corporate network.
2. Update the firmware to the latest version provided by the vendor.
3. Ensure that the router's management interface is not accessible from the WAN side.
■ Reference
- CVE-2026-34474
- Exploit-DB EDB-ID: 52592
Priority: High
Deadline: Immediate
Dear IT Administration Team,
We are sharing information regarding a critical vulnerability in ZTE routers.
■ Overview
An unauthenticated credential exposure vulnerability (CVE-2026-34474) has been identified in ZTE H298A and H108N routers. An attacker can retrieve the administrator password, WLAN PSK, and ESSID in plaintext by sending a single HTTP GET request to /getpage.lua?pid=1000ÐCheat=1.
■ Affected Scope
- ZTE ZXHN H298A 1.1
- ZTE ZXHN H108N 2.6
■ Mitigation Steps
1. Identify if the aforementioned router models are deployed within the corporate network.
2. Update the firmware to the latest version provided by the vendor.
3. Ensure that the router's management interface is not accessible from the WAN side.
■ Reference
- CVE-2026-34474
- Exploit-DB EDB-ID: 52592
Priority: High
Deadline: Immediate