|
[English]
|
JVNDB-2026-007973
|
Xerox FreeFlow Coreにおける複数の脆弱性(XRX26-005)
|
|
Xerox FreeFlow Coreには、次の複数の脆弱性が存在します。- パストラバーサル(CWE-22) - CVE-2026-2251
- XML外部実体参照(XXE)の不適切な制限(CWE-611) - CVE-2026-2252
この脆弱性情報は、製品利用者への周知を目的に、富士フイルムビジネスイノベーションがJPCERT/CCに報告したものです。
|
|
CVSS v3 による深刻度
基本値: 9.8 (緊急) [その他]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): 高
- 可用性への影響(A): 高
※上記は、CVE-2026-2251 の評価になります。 |
CVSS v3 による深刻度
基本値:7.5 (重要) [その他]- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: なし
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 高
- 完全性への影響(I): なし
- 可用性への影響(A): なし
※上記は、CVE-2026-2252 の評価になります。
|
|
|
Xerox
- Xerox FreeFlow Core 、8.1.0 より前のバージョン
|
富士フイルムビジネスイノベーションによると、彼らが提供しているXerox FreeFlow Core(バージョン7.0.0から7.0.11)もXRX26-005の影響を受けます。
|
|
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。- 細工した入力により任意のファイルを任意の場所に保存され、結果として、任意のコードを実行される(CVE-2026-2251)
- 細工した入力により、ネットワーク経由のリソースにアクセスさせられる(CVE-2026-2252)
|
|
[アップデートする]
Xerox Corporationは、本件の対策を行ったバージョン8.1.0をリリースしています。
[ワークアラウンドを実施する]
富士フイルムビジネスイノベーションは、2026年3月17日に公開したアドバイザリにて、彼らが提供しているXerox FreeFlow CoreもXRX26-005の影響を受けること、また、対策版の準備を進めていることを発表しています。あわせて、対策版にアップデートするまでの間は回避策を適用することを推奨しています。
詳細については、富士フイルムビジネスイノベーションが提供する情報を確認してください。
|
|
Xerox
富士フイルムビジネスイノベーション株式会社 (旧 富士ゼロックス株式会社)
|
|
- パス・トラバーサル(CWE-22) [その他]
- XML 外部エンティティ参照の不適切な制限(CWE-611) [その他]
|
|
- CVE-2026-2251
- CVE-2026-2252
|
|
- JVN : JVNVU#95093977
|
|
|
