公開日:2024/10/25 最終更新日:2024/10/25
JVNVU#95063136
シャープ製および東芝テック製複合機(MFP)における複数の脆弱性
シャープ製および東芝テック製の複合機(MFP)には、複数の脆弱性が存在します。
影響を受ける製品、モデル番号、バージョンなどの詳細については、各製品開発者が提供する情報をご確認ください。
シャープ株式会社および東芝テック株式会社が提供する複数の複合機(MFP)には、次の複数の脆弱性が存在します。
- 領域外メモリ参照(CWE-125)
- CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値:7.5
- CVE-2024-42420
- デバイスWebページにおけるキーワード検索の入力データ判定処理、SOAP通信におけるリクエストパラメタの解析処理および実行処理に不備があり、領域外メモリ参照が発生する可能性がある
- 領域外メモリ参照(CWE-125)
- CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値:7.5
- CVE-2024-43424
- HTTPリクエストのヘッダ解析処理に不備があり、領域外メモリ参照が発生する可能性がある
- 領域外メモリ参照(CWE-125)
- CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H 基本値:4.9
- CVE-2024-45829
- デバイスWebページからのデータダウンロード処理において、HTTPリクエストのクエリパラメタ解析処理に不備があり、領域外メモリ参照が発生する可能性がある
- パストラバーサル(CWE-22)
- CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N 基本値:5.3
- CVE-2024-45842
- HTTP PUTリクエストのURI判定処理に不備があり、意図しないファイルへのアクセスが可能
- 設定登録APIのアクセス制限不備(CWE-749)
- CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N 基本値:8.1
- CVE-2024-47005
- 管理者のみに使用を制限する想定の設定登録APIを管理者権限を持っていないユーザが実行可能
- 認証処理の不備(CWE-288)
- CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H 基本値:9.1
- CVE-2024-47406
- HTTPリクエストの認証判定処理に不備があり、認証機能を回避される可能性がある
- HTTPリクエストのクエリパラメタ解析処理の不備(CWE-644)
- CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N 基本値:7.4
- CVE-2024-47549
- デバイスWebページからの設定情報ダウンロード処理において、HTTPリクエストのクエリパラメタ解析処理に不備があり、HTTPレスポンスのヘッダに入力データが不適切な形で混入する
- 反射型クロスサイトスクリプティング(CWE-79)
- CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N 基本値:7.4
- CVE-2024-47801
- HTTPリクエストのクエリパラメタの判定処理の不備に起因するクロスサイトスクリプティングの脆弱性
- 格納型クロスサイトスクリプティング(CWE-79)
- CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:N/A:N 基本値:6.2
- CVE-2024-48870
- デバイスWebページのURI情報登録における入力値判定処理の不備に起因するクロスサイトスクリプティングの脆弱性
想定される影響は各脆弱性によって異なりますが、次のような可能性があります。
- 細工されたHTTPリクエストを処理することで、当該製品がハングアップする(CVE-2024-42420、CVE-2024-43424、CVE-2024-45829)
- 細工されたHTTPリクエストを処理することで、当該製品の内部のファイルにアクセスされる(CVE-2024-45842)
- 管理者権限を持っていないユーザによって設定登録APIが使用される(CVE-2024-47005)
- 当該製品のWebページの認証機構を迂回してアクセスされる(CVE-2024-47406)
- 当該製品を示す細工されたURLにアクセスした場合、Webブラウザ上で任意のスクリプトを実行される(CVE-2024-47549、CVE-2024-47801)
- 当該製品に対し管理者権限を持ったユーザが細工した入力を行うことで、当該製品にアクセスした他ユーザのウェブブラウザ上で任意のスクリプトを実行される(CVE-2024-48870)
アップデートする
各製品開発者が提供する情報をもとに、ファームウェアをアップデートしてください。
詳しくは、[ベンダ情報]に掲載の各製品開発者が提供する情報を参照してください。
ワークアラウンドを実施する
以下の対応を行うことにより、本脆弱性の影響を軽減することが可能です。
- 複合機をインターネットに直接接続せず、ファイアウォールやルーター等で保護されたネットワーク内で使用する
- パスワードを設定し複合機のWebページへのアクセスを制限する(本機能は工場出荷時設定で有効になっており、初期パスワードはマニュアルに記載されています)
- 複合機の管理者パスワードを工場出荷時の初期値から変更し、適切に管理する
| ベンダ | ステータス | ステータス 最終更新日 |
ベンダの告知ページ |
|---|---|---|---|
| シャープ株式会社 | 該当製品あり | 2024/10/25 | シャープ株式会社 の告知ページ |
| 東芝テック株式会社 | 該当製品あり | 2024/10/25 | 東芝テック株式会社 の告知ページ |
この脆弱性情報は、製品利用者への周知を目的に、シャープ株式会社がJPCERT/CCに報告し、JPCERT/CCがシャープ株式会社との調整を行いました。
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2024-42420 |
|
CVE-2024-43424 |
|
|
CVE-2024-45829 |
|
|
CVE-2024-45842 |
|
|
CVE-2024-47005 |
|
|
CVE-2024-47406 |
|
|
CVE-2024-47549 |
|
|
CVE-2024-47801 |
|
|
CVE-2024-48870 |
|
| JVN iPedia |
|
- 2024/10/25
- シャープ株式会社のベンダステータスが更新されました
