JVNVU#96482726: 富士フイルムビジネスイノベーション製およびXerox Corporation製複合機（MFP）における脆弱性

富士フイルムビジネスイノベーション製およびXerox Corporation製の複数の複合機（MFP）では、アドレス帳に格納された情報をエクスポートする際、十分な強度の暗号化を行っていません。

影響を受ける製品、モデル番号、バージョンなどの詳細については、各製品開発者が提供する情報をご確認ください。

富士フイルムビジネスイノベーション製およびXerox Corporation製の複数の複合機（MFP）には、アドレス帳に格納されている情報を暗号化した形でエクスポートする機能が提供されていますが、十分な強度の暗号化を行っていません（CWE-1391）。

暗号化鍵と暗号化処理内容を知っている第三者が、当該製品のアドレス帳からエクスポートされたデータを入手した場合、接続先サーバーの認証情報などを取得する可能性があります。

アップデートする
各製品開発者が提供する情報をもとに、ファームウェアをアップデートしてください。
詳しくは、［ベンダ情報］に掲載の各製品開発者が提供している情報を参照してください。

ベンダ	リンク
富士フイルムビジネスイノベーション	弊社複合機のアドレス帳の暗号化処理における脆弱性について
Xerox Corporation	Mini Bulletin XRX23-015 CVE-2023-46327

CVSS v3 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:L/A:N

基本値: 5.4

分析結果のコメント

エクスポートされたアドレス帳データを攻撃者が入手し、当該製品がスキャンデータを保存するサーバーに接続する際に使用する認証情報を取得してサーバー上のファイルを改ざんする、という攻撃シナリオを想定しています。

この脆弱性情報は、下記の方が製品開発者に報告し、報告者および製品開発者がJPCERT/CCとの調整を経て公表に至りました。
報告者: Pen Test Partners Kunal Thakrar 氏、Ceri Coburn 氏