公開日:2026/01/09 最終更新日:2026/01/09

JVN#12770174
RICOH Streamline NXにおける不適切な認可処理の脆弱性

概要

株式会社リコーが提供するRICOH Streamline NXには、不適切な認可処理の脆弱性が存在します。

影響を受けるシステム

  • RICOH Streamline NX 3.5.1から24R3まで

詳細情報

株式会社リコーが提供するRICOH Streamline NXには、次の脆弱性が存在します。

  • 不適切な認可処理(CWE-639
    • CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 8.2
    • CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値 5.9
    • CVE-2026-21409
    • 中間者攻撃(man-in-the-middle attack)が行われることを想定しています

想定される影響

当該製品とそのユーザの間の通信に対して中間者攻撃が行われた場合、当該製品に対して細工したリクエストを処理させることで、ユーザの登録情報やOIDC(OpenID Connect)トークン等を取得される可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。

ワークアラウンドを実施する
ソフトウェアを速やかに更新できない場合には、ワークアラウンドの適用が推奨されています。

詳細は、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
株式会社リコー Notice on potential impact of "Vulnerability leading to leakage of Credential IDs and Personally Identifiable Information of Users" towards RICOH Streamline NX V3

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者がIPAに報告し、JPCERT/CCが開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2026-21409
JVN iPedia JVNDB-2026-000003