公開日:2022/11/01 最終更新日:2022/11/01
JVN#46345126
京セラドキュメントソリューションズ製の複合機およびプリンターの Web インタフェースにおける複数の脆弱性
京セラドキュメントソリューションズ株式会社が提供する複合機およびプリンターの Web インタフェースには、複数の脆弱性が存在します。
影響を受ける製品は複数存在します。
詳しくは、開発者が提供する情報をご確認ください。
京セラドキュメントソリューションズ株式会社が提供する複合機およびプリンターの Web インタフェース "Command Center" には、次の複数の脆弱性が存在します。
- セッション情報を容易に推測可能な問題 (CWE-287) - CVE-2022-41798
CVSS v3 CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L 基本値: 6.3 CVSS v2 AV:A/AC:L/Au:N/C:P/I:P/A:P 基本値: 5.8 - 認証欠如 (CWE-425) - CVE-2022-41807
CVSS v3 CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N 基本値: 5.4 CVSS v2 AV:A/AC:L/Au:N/C:P/I:P/A:N 基本値: 4.8 - 格納型クロスサイトスクリプティング (CWE-79) - CVE-2022-41830
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N 基本値: 4.8 CVSS v2 AV:N/AC:M/Au:S/C:N/I:P/A:N 基本値: 3.5
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 隣接するネットワーク上の第三者が推測したセッション情報を使用することによって、正規ユーザになりすましてログインされる - CVE-2022-41798
- 隣接するネットワーク上の第三者に細工されたリクエストを送信されることによって、認証無しで設定を変更される - CVE-2022-41807
- 管理者権限でログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される - CVE-2022-41830
アップデートする
開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。
詳細は、保守実施店に確認してください。
ワークアラウンドを実施する
対策版を適用するまでの間、信頼できない第三者からのアクセスを防ぐために、次のような対応を実施してください。
- ファイアウォールなどで保護された環境の中で使用する
- プライベート IP アドレスで使用する
| ベンダ | リンク |
| 京セラドキュメントソリューションズ株式会社 | 京セラ製複合機・プリンターのセキュリティー脆弱性について |
これらの脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 横浜国立大学 佐々木貴之 氏、乃万誉也 氏、吉岡克成 氏
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2022-41798 |
|
CVE-2022-41807 |
|
|
CVE-2022-41830 |
|
| JVN iPedia |
JVNDB-2022-000079 |
