|
[English]
|
JVNDB-2025-014081
|
ブラザーおよびその OEM ベンダーが提供する複数の製品における管理者パスワードの初期設定について
|
|
ブラザー工業株式会社およびその OEM ベンダーが提供する複数の製品では、初期設定における管理者パスワードは製品のシリアル番号から容易に導出可能です。
この問題は Rapid7 によって報告されています (JVNVU#90043828、CVE-2024-51978)。
ブラザー工業は以下のように述べています:
(1) システム管理のため、製品のシリアル番号は認証なしで取得できるように設計している
(2) CVE-2024-51978 の対策として、シリアル番号からは導出できない形の初期パスワードを設定するよう、工場の生産ラインを更新した
その後、runZero は、シリアル番号を認証なしで取得するもうひとつの手段として eSCL/uscan 機能が存在することを報告しました。
eSCL/uscan は CVE-2024-51977 では記載されていないこと、および CVE-2024-51978 の存在に鑑みて、CNA である Austin Hackers Anonymous は新たに CVE-2025-8452 をアサインしました。
この脆弱性情報は、runZero が製品開発者へ直接報告し、製品開発者の調整依頼に基づき JPCERT/CC が両者の調整を仲介しました。
|
|
|
|
|
コニカミノルタ株式会社
ブラザー工業
東芝テック
|
影響を受ける製品は広範囲に及びます。
影響を受ける製品、モデル番号、バージョンなどの詳細については、後述の [ベンダ情報] で各製品開発者が提供する情報を確認してください。
|
|
当該製品のパスワードを初期設定から変更しないまま運用している場合、シリアル番号を知っている者に管理者権限で操作される可能性があります。
|
|
管理者パスワードを初期値から変更してください。
|
|
コニカミノルタ株式会社
ブラザー工業
東芝テック
|
|
|
|
- CVE-2025-8452
|
|
- JVN : JVNVU#93294882
- JVN : JVNVU#90043828
- 関連文書 : Brother Printer Serial Number Disclosure
- 関連文書 : How to find Brother printer, scanner and label maker devices on your network
|
|
|
