|
[English]
|
JVNDB-2025-007519
|
複数のブラザー製品における複数の脆弱性
|
|
ブラザー工業株式会社が提供する複数の製品には、次の複数の脆弱性が存在します。
* 認可されていない制御領域への機微なシステム情報の漏えい(CWE-497) - CVE-2024-51977
* 弱い認証情報の使用(CWE-1391) - CVE-2024-51978
* スタックベースのバッファオーバーフロー(CWE-121) - CVE-2024-51979
* サーバサイドリクエストフォージェリ(CWE-918) - CVE-2024-51980、CVE-2024-51981
* 想定しないデータタイプの不適切な取扱い(CWE-241) - CVE-2024-51982
* 動作ワークフローの不適切な強制(CWE-841) - CVE-2024-51983
* 認証情報の保護が不十分(CWE-522) - CVE-2024-51984
この脆弱性情報は、Rapid7 Stephen Fewer 氏が製品開発者へ直接報告し、製品開発者の調整依頼に基づき JPCERT/CC が両者の調整を仲介しました。
|
|
CVSS v3 による深刻度
基本値: 9.8 (緊急) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
※上記は、CVE-2024-51978 の評価になります。
|
CVSS v3 による深刻度
基本値:5.3 (警告) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 低
- 完全性への影響(I): なし
- 可用性への影響(A): なし
※上記は、CVE-2024-51977 の評価になります。
|
CVSS v3 による深刻度
基本値:7.2 (重要) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 高
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
※上記は、CVE-2024-51979 の評価になります。
|
CVSS v3 による深刻度
基本値:5.3 (警告) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 低
- 完全性への影響(I): なし
- 可用性への影響(A): なし
※上記は、CVE-2024-51980、CVE-2024-51981 の評価になります。
|
CVSS v3 による深刻度
基本値:7.5 (重要) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): なし
- 完全性への影響(I): なし
- 可用性への影響(A): 高
※上記は、CVE-2024-51982 の評価になります。
|
CVSS v3 による深刻度
基本値:7.5 (重要) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): なし
- 完全性への影響(I): なし
- 可用性への影響(A): 高
※上記は、CVE-2024-51983 の評価になります。
|
CVSS v3 による深刻度
基本値:6.8 (警告) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 高
- 利用者の関与: 不要
- 影響の想定範囲: 変更あり
- 機密性への影響(C): 高
- 完全性への影響(I): なし
- 可用性への影響(A): なし
※上記は、CVE-2024-51984 の評価になります。
|
|
|
(複数のベンダ)
|
影響を受ける製品は広範囲に及びます。
影響を受ける製品、モデル番号、バージョンなどの詳細については、後述の[ベンダ情報]で各製品開発者が提供する情報を確認してください。
|
|
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
* 特定のポートへのアクセスにより、機微な情報が漏えいする(CVE-2024-51977)
* 機器固有の情報から、初期パスワードを容易に特定される(CVE-2024-51978)
* 管理者権限を持つ遠隔のユーザによって、スタックベースのバッファオーバーフローを引き起こされる(CVE-2024-51979)
* 遠隔の第三者によって、任意の宛先へ HTTP リクエストを送信させられる(CVE-2024-51980、CVE-2024-51981)
* 遠隔の第三者によって、機器をクラッシュさせられる(CVE-2024-51982、CVE-2024-51983)
* 管理者権限を持つ遠隔のユーザが外部サービスに関する設定を変更することで、外部サービスのパスワードが漏えいする(CVE-2024-51984)
|
|
[アップデートする]
後述の[ベンダ情報]の各製品開発者が提供する情報をもとに、ファームウェアをアップデートしてください。
|
|
コニカミノルタ株式会社
ブラザー工業
リコー
東芝テック
富士フイルムビジネスイノベーション株式会社 (旧 富士ゼロックス株式会社)
|
|
- スタックベースのバッファオーバーフロー(CWE-121) [その他]
- 弱い認証情報の使用(CWE-1391) [その他]
- 予期しないデータ型の不適切な処理(CWE-241) [その他]
- 認可されていない制御領域への重要情報の漏えい(CWE-497) [その他]
- 認証情報の不十分な保護(CWE-522) [その他]
- 行動ワークフローの不適切な実施(CWE-841) [その他]
- サーバサイドのリクエストフォージェリ(CWE-918) [その他]
|
|
- CVE-2024-51977
- CVE-2024-51978
- CVE-2024-51979
- CVE-2024-51980
- CVE-2024-51981
- CVE-2024-51982
- CVE-2024-51983
- CVE-2024-51984
|
|
- JVN : JVNVU#90043828
- 関連文書 : Multiple Brother Devices: Multiple Vulnerabilities (FIXED)
|
|
|
