JVNDB-2022-000079

京セラドキュメントソリューションズ製の複合機およびプリンターの Web インタフェースにおける複数の脆弱性

京セラドキュメントソリューションズ株式会社が提供する複合機およびプリンターの Web インタフェース "Command Center" には、次の複数の脆弱性が存在します。

• セッション情報を容易に推測可能な問題 (CWE-287) - CVE-2022-41798
  
• 認証欠如 (CWE-425) - CVE-2022-41807
  
• 格納型クロスサイトスクリプティング (CWE-79) - CVE-2022-41830

これらの脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 横浜国立大学 佐々木貴之 氏、乃万誉也 氏、吉岡克成 氏

京セラドキュメントソリューションズ

• (複数の製品)

影響を受ける製品は複数存在します。

詳しくは、開発者が提供する情報をご確認ください。

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 隣接するネットワーク上の第三者が推測したセッション情報を使用することによって、正規ユーザになりすましてログインされる - CVE-2022-41798
  
• 隣接するネットワーク上の第三者に細工されたリクエストを送信されることによって、認証無しで設定を変更される - CVE-2022-41807
  
• 管理者権限でログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される - CVE-2022-41830

[アップデートする]
開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。
詳細は、保守実施店に確認してください。

[ワークアラウンドを実施する]
対策版を適用するまでの間、信頼できない第三者からのアクセスを防ぐために、次のような対応を実施してください。

• ファイアウォールなどで保護された環境の中で使用する
  
• プライベート IP アドレスで使用する

京セラドキュメントソリューションズ

• 京セラドキュメントソリューションズ株式会社 : 京セラ製複合機・プリンターのセキュリティー脆弱性について

1. クロスサイトスクリプティング(CWE-79) [IPA評価]
2. 不適切な認証(CWE-287) [IPA評価]
3. その他(CWE-Other) [IPA評価]

1. CVE-2022-41798
2. CVE-2022-41807
3. CVE-2022-41830

1. JVN : JVN#46345126

• [2022年11月01日]
    掲載