|
[English]
|
JVNDB-2022-002780
|
シャープ製デジタル複合機におけるコマンドインジェクションの脆弱性
|
|
シャープ株式会社が提供する複数のデジタル複合機には、コマンドインジェクションの脆弱性(CWE-77、CVE-2022-45796)が存在します。
本件の脆弱性は web アプリケーションコンポーネントに存在しますが、影響を受ける OS 部分を web アプリケーションコンポーネントの外部として扱い、S:C と評価しています。
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
|
|
CVSS v3 による深刻度
基本値: 9.1 (緊急) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 高
- 利用者の関与: 不要
- 影響の想定範囲: 変更あり
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
|
|
|
シャープ株式会社
|
影響を受ける製品、機種名、ファームウェアバージョンは広範囲に及びます。
詳しくは、開発者が提供する情報をご確認ください。
* デジタルフルカラー複合機
* デジタル複合機(モノクロ)
|
|
本脆弱性が悪用された場合、複合機のファームウェア上で任意のコマンドが実行される可能性があります。
開発者によると、本脆弱性を使用した攻撃成立には、次の条件が必須とのことです。
* 遠隔の第三者が対象の複合機にネットワーク経由で接続可能であること
* 遠隔の第三者が対象の複合機の管理者パスワードを知っていること
詳しくは、開発者が提供する情報をご確認ください。
|
|
[アップデートする]
開発者が提供する情報をもとに、ファームウェアをアップデートしてください。
ファームウェアアップデートの入手や適用の詳細に関しては、開発者の提供する「お客様ご相談窓口」にお問合せください。
[ワークアラウンドを実施する]
ファームウェアのアップデートが適用されるまでの間、次の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
* 複合機をインターネットに直接接続せず、ファイアウォールやルーター等で保護されたネットワーク内で使用する
* 複合機の管理者パスワードを工場出荷時の初期値から変更し、適切に管理する
回避策の詳細については、開発者が提供する次の情報をご確認ください。
「シャープ デジタル複合機 インターネットからの不正アクセス防止のための対策手順書」
|
|
シャープ株式会社
|
|
- コマンドインジェクション(CWE-77) [その他]
|
|
- CVE-2022-45796
|
|
- JVN : JVNVU#96195138
- 関連文書 : ZA-2022-01(SHARP Multifunction Printer - Command Injection)
|
|
- [2022年12月16日]
掲載
- [2022年12月19日]
参考情報:関連文書 (ZA-2022-01(SHARP Multifunction Printer - Command Injection) ) を追加
|
