公開日:2025/04/25 最終更新日:2025/04/25

JVN#82536398
Quickエージェントにおける複数の脆弱性

概要

サイオステクノロジー株式会社が提供するQuickエージェントには、複数の脆弱性が存在します。

影響を受けるシステム

  • QuickエージェントV3 Ver3.2.1より前のバージョン
  • QuickエージェントV2 Ver2.9.8より前のバージョン

詳細情報

サイオステクノロジー株式会社が提供するQuickエージェントは、次に挙げるリコー製複合機向けソリューションのWindowsアプリです。

  • Quickスキャン
  • Easyファクス
  • Speedoc
  • スマートecoファクス
Quickエージェントには、次の複数の脆弱性が存在します。
  • ファイルアップロード機能におけるパストラバーサル(CWE-22
    • CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 9.2
    • CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値 8.1
    • CVE-2025-26692
  • ファイルダウンロード機能におけるパストラバーサル(CWE-22
    • CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 7.1
    • CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N 基本値 6.5
    • CVE-2025-27937
  • 特定のAPIにおけるアクセス制限不備(CWE-923
    • CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:L/SI:N/SA:N 基本値 6.9
    • CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N 基本値 5.8
    • CVE-2025-31144

想定される影響

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

  • 遠隔の攻撃者によって、当該製品が動作するWindowsシステムの権限で任意のコードを実行される(CVE-2025-26692)
  • 当該製品にログイン可能な遠隔の攻撃者によって、当該製品上の任意のファイルを取得される(CVE-2025-27937)
  • 遠隔の攻撃者によって、当該製品が動作するWindowsシステムを経由し、任意のホストに認証試行される(CVE-2025-31144)

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。

ワークアラウンドを実施する
開発者は、アップデートの適用とあわせて次の軽減策の適用を推奨しています。

  • 当該製品および複合機をLAN内で使用し、信頼できないネットワークやホストからのアクセスを制限する
  • 当該製品および複合機をインターネットに接続する場合には、ファイアウォールや仮想プライベートネットワーク(VPN)などを使用し、不正アクセスを防止した上で、接続を必要最小限にする

ベンダ情報

ベンダ リンク
サイオステクノロジー株式会社 【重要】QuickエージェントV2およびQuickエージェントV3の脆弱性に関するご報告(要ログイン)
【重要】QuickエージェントV2およびQuickエージェントV3の脆弱性に関するご報告

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、下記の方がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。
報告者:株式会社三菱UFJ銀行 堀口奨太 氏、山田鷹志 氏
    GMOサイバーセキュリティ byイエラエ株式会社 ルスラン サイフィエフ 氏、村島 正浩 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2025-26692
CVE-2025-27937
CVE-2025-31144
JVN iPedia JVNDB-2025-000029