公開日:2025/08/06 最終更新日:2025/08/06
JVN#16547726
サトー製ラベルプリンタCL4/6NX-J PlusおよびCL4/6NX Plusシリーズにおける複数の脆弱性
株式会社サトーが提供するラベルプリンタCL4/6NX-J PlusおよびCL4/6NX Plusシリーズには、複数の脆弱性が存在します。
- スキャントロニクスCL4/6NX-J Plusシリーズ ファームウェア1.15.5-r1より前のバージョン
- スキャントロニクスCL4/6NX Plusシリーズ(海外向けモデル)ファームウェア1.15.5-r1より前のバージョン
株式会社サトーが提供するラベルプリンタCL4/6NX-J PlusおよびCL4/6NX Plusシリーズには、次の複数の脆弱性が存在します。
- OSコマンドインジェクション(CWE-78)
- CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N 基本値:6.9
- CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L 基本値 7.3
- CVE-2025-22469
- アップロードするファイルの検証が不十分(CWE-434)
- CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値:9.3
- CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値 9.8
- CVE-2025-22470
脆弱性を悪用された場合、次のような影響を受ける可能性があります。
- 遠隔の第三者によって、システム上で特定の管理者でないユーザー権限を使用して任意のOSコマンドを実行される(CVE-2025-22469)
- 遠隔の第三者によって、システム上で
root
権限を使用して任意のLuaスクリプトを実行される(CVE-2025-22470)
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
ワークアラウンドを実施する
開発者から、アップデートが適用できない場合におけるワークアラウンドが提示されています。
詳細は、開発者が提供する情報を確認してください。
ベンダ | リンク |
株式会社サトー | ラベルプリンタ商品の脆弱性対応について(PDF) |
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。
報告者:株式会社ラック 飯田 雅裕 氏
JPCERT 緊急報告 |
|
JPCERT REPORT |
|
CERT Advisory |
|
CPNI Advisory |
|
TRnotes |
|
CVE |
CVE-2025-22469 |
CVE-2025-22470 |
|
JVN iPedia |
JVNDB-2025-000056 |