公開日:2025/08/06 最終更新日:2025/08/06

JVN#16547726
サトー製ラベルプリンタCL4/6NX-J PlusおよびCL4/6NX Plusシリーズにおける複数の脆弱性

概要

株式会社サトーが提供するラベルプリンタCL4/6NX-J PlusおよびCL4/6NX Plusシリーズには、複数の脆弱性が存在します。

影響を受けるシステム

  • スキャントロニクスCL4/6NX-J Plusシリーズ ファームウェア1.15.5-r1より前のバージョン
  • スキャントロニクスCL4/6NX Plusシリーズ(海外向けモデル)ファームウェア1.15.5-r1より前のバージョン

詳細情報

株式会社サトーが提供するラベルプリンタCL4/6NX-J PlusおよびCL4/6NX Plusシリーズには、次の複数の脆弱性が存在します。

  • OSコマンドインジェクション(CWE-78
    • CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N 基本値:6.9
    • CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L 基本値 7.3
    • CVE-2025-22469
  • アップロードするファイルの検証が不十分(CWE-434
    • CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値:9.3
    • CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値 9.8
    • CVE-2025-22470

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • 遠隔の第三者によって、システム上で特定の管理者でないユーザー権限を使用して任意のOSコマンドを実行される(CVE-2025-22469)
  • 遠隔の第三者によって、システム上でroot権限を使用して任意のLuaスクリプトを実行される(CVE-2025-22470)

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。

ワークアラウンドを実施する
開発者から、アップデートが適用できない場合におけるワークアラウンドが提示されています。

詳細は、開発者が提供する情報を確認してください。

ベンダ情報

ベンダ リンク
株式会社サトー ラベルプリンタ商品の脆弱性対応について(PDF)

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。
報告者:株式会社ラック 飯田 雅裕 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2025-22469
CVE-2025-22470
JVN iPedia JVNDB-2025-000056