JVNVU#97136265
東芝テック製および沖電気製複合機（MFP）における複数の脆弱性

東芝テック製および沖電気製複合機（MFP）には、複数の脆弱性が存在します。

影響を受ける製品、モデル番号、バージョンなどの詳細については、各開発者が提供する情報を確認してください。

• 東芝テック株式会社
• 沖電気工業株式会社

東芝テック株式会社および沖電気工業株式会社が提供する複数の複合機（MFP）には、次の複数の脆弱性が存在します。

• XMLエンティティ拡張インジェクション（CWE-776）- CVE-2024-27141、CVE-2024-27142
• 不要な権限による実行（CWE-250）- CVE-2024-27143、CVE-2024-27146、CVE-2024-27147、CVE-2024-3498
• インストール時のファイルアクセス権の設定が不適切（CWE-276）- CVE-2024-27148、CVE-2024-27149、CVE-2024-27150、CVE-2024-27151、CVE-2024-27152、CVE-2024-27153、CVE-2024-27155、CVE-2024-27167、CVE-2024-27171
• パストラバーサル（CWE-22）- CVE-2024-27144、CVE-2024-27145、CVE-2024-27173、CVE-2024-27174、CVE-2024-27176、CVE-2024-27177、CVE-2024-27178
• ログファイルに含まれる機微な情報（CWE-532）- CVE-2024-27154、CVE-2024-27156、CVE-2024-27157
• パスワードの平文保存（CWE-256）- CVE-2024-27166
• デバッグメッセージによる情報漏えい（CWE-1295）- CVE-2024-27179
• デフォルト認証情報の使用（CWE-1392）- CVE-2024-27158
• ハードコードされた認証情報の使用（CWE-798）- CVE-2024-27159、CVE-2024-27160、CVE-2024-27161、CVE-2024-27168、CVE-2024-27170
• ハードコードされたパスワードの使用（CWE-259）- CVE-2024-27164
• クロスサイトスクリプティング（CWE-79）- CVE-2024-27162
• 重要な情報の平文送信（CWE-319）- CVE-2024-27163
• 権限侵害（CWE-272）- CVE-2024-27165
• 重要な機能に対する認証の欠如（CWE-306）- CVE-2024-27169
• OSコマンドインジェクション（CWE-78）- CVE-2024-27172
• ファイル名やパス名の外部制御（CWE-73）- CVE-2024-27175
• Time-of-check Time-of-use（TOCTOU）競合状態（CWE-367）- CVE-2024-27180
• 代替パスまたはチャネルの使用による認証回避（CWE-288）- CVE-2024-3496
• 相対パストラバーサル（CWE-23）- CVE-2024-3497

想定される影響は各脆弱性によって異なりますが、次のような可能性があります。

• 当該製品にアクセス可能な第三者によって、サービス運用妨害（DoS）状態にされる - CVE-2024-27141、CVE-2024-27142
• 当該製品にアクセス可能な第三者によって任意のコードを実行される - CVE-2024-27143, CVE-2024-27146, CVE-2024-27147, CVE-2024-27148, CVE-2024-27149, CVE-2024-27150, CVE-2024-27151, CVE-2024-27152, CVE-2024-27153, CVE-2024-27155, CVE-2024-27167, CVE-2024-27171, CVE-2024-27144, CVE-2024-27145, CVE-2024-27173, CVE-2024-27174, CVE-2024-27176, CVE-2024-27177, CVE-2024-27178, CVE-2024-27165, CVE-2024-27172, CVE-2024-3497, CVE-2024-3498
• 当該製品にアクセス可能な第三者によって情報を取得される - CVE-2024-27154, CVE-2024-27156, CVE-2024-27157, CVE-2024-27166, CVE-2024-27179, CVE-2024-27158, CVE-2024-27159, CVE-2024-27160, CVE-2024-27161, CVE-2024-27168, CVE-2024-27170,  CVE-2024-27164, CVE-2024-27162, CVE-2024-27163, CVE-2024-27175, CVE-2024-3496
• 当該製品にアクセス可能な第三者によって管理者インタフェースにアクセスされる - CVE-2024-27169
• 当該製品にアクセス可能な第三者によって情報を改ざんされる - CVE-2024-27180

アップデートする
開発者が提供する情報をもとに、ファームウェアをアップデートしてください。
ファームウェアバージョン等の詳細については、［ベンダ情報］に掲載の各製品開発者が提供している情報を参照してください。

ワークアラウンドを実施する
次の軽減策を適用することで、本脆弱性の影響を軽減することが可能です。

• 当該製品をインターネットに直接接続せず、ファイアウォールなどで保護されたネットワーク内で使用する
• IPアドレスフィルタ機能を使用し、信頼できないホストからのアクセスをブロックする
• 当該製品および当該製品が接続されたネットワークへの物理的なアクセスを制限する