JVNVU#90043828
複数のブラザー製品における複数の脆弱性

ブラザー工業株式会社が提供する複数の製品には、複数の脆弱性が存在します。

影響を受ける製品は広範囲に及びます。
影響を受ける製品、モデル番号、バージョンなどの詳細については、後述の［ベンダ情報］で各製品開発者が提供する情報を確認してください。

ブラザー工業株式会社が提供する複数の製品には、次の複数の脆弱性が存在します。

• 認可されていない制御領域への機微なシステム情報の漏えい（CWE-497）
  • CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 6.9
  • CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値 5.3
  • CVE-2024-51977
• 弱い認証情報の使用（CWE-1391）
  • CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 9.3
  • CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値 9.8
  • CVE-2024-51978
• スタックベースのバッファオーバーフロー（CWE-121）
  • CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.6
  • CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 7.2
  • CVE-2024-51979
• サーバサイドリクエストフォージェリ（CWE-918）
  • CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 6.9
  • CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値 5.3
  • CVE-2024-51980、CVE-2024-51981
• 想定しないデータタイプの不適切な取扱い（CWE-241）
  • CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N 基本値 8.7
  • CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値 7.5
  • CVE-2024-51982
• 動作ワークフローの不適切な強制（CWE-841）
  • CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N 基本値 8.7
  • CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値 7.5 
  • CVE-2024-51983
• 認証情報の保護が不十分（CWE-522）
  • CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:N/SC:H/SI:N/SA:N 基本値 6.1
  • CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N 基本値 6.8
  • CVE-2024-51984

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 特定のポートへのアクセスにより、機微な情報が漏えいする（CVE-2024-51977）
• 機器固有の情報から、初期パスワードを容易に特定される（CVE-2024-51978）
• 管理者権限を持つ遠隔のユーザによって、スタックベースのバッファオーバーフローを引き起こされる（CVE-2024-51979）
• 遠隔の第三者によって、任意の宛先へHTTPリクエストを送信させられる（CVE-2024-51980、CVE-2024-51981）
• 遠隔の第三者によって、機器をクラッシュさせられる（CVE-2024-51982、CVE-2024-51983）
• 管理者権限を持つ遠隔のユーザが外部サービスに関する設定を変更することで、外部サービスのパスワードが漏えいする（CVE-2024-51984）

アップデートする
後述の［ベンダ情報］の各製品開発者が提供する情報をもとに、ファームウェアをアップデートしてください。