JVNDB-2024-000061

[English]
JVNDB-2024-000061
Ricoh Streamline NX PC Clientにおける複数の脆弱性
概要
株式会社リコーが提供するRicoh Streamline NX PC Clientには、次の複数の脆弱性が存在します。 [ricoh-2024-000004]意図するエンドポイントとの通信チャネルの不適切な制限（CWE-923）- CVE-2024-36252 [ricoh-2024-000005]ハードコードされた認証情報の使用（CWE-798）- CVE-2024-36480 [ricoh-2024-000006]潜在的に危険な関数の使用（CWE-676）- CVE-2024-37124 [ricoh-2024-000007]潜在的に危険な関数の使用（CWE-676）- CVE-2024-37387 CVE-2024-36252 この脆弱性情報は、次の方が製品開発者に直接報告し、製品開発者との調整を経て、製品利用者への周知を目的にJVNでの公表に至りました。報告者：Siemens China Cybersecurity Testing Center - Shadowless Lab Cai, Qi Qi 氏 CVE-2024-36480、CVE-2024-37124、CVE-2024-37387 この脆弱性情報は、次の方が製品開発者に直接報告し、製品開発者との調整を経て、製品利用者への周知を目的にJVNでの公表に至りました。報告者：Siemens Energy Abian Blome 氏
CVSS による深刻度 (CVSS とは?)
CVSS v3 による深刻度基本値: 6.3 (警告) [IPA値] 攻撃元区分: 隣接攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): 低完全性への影響(I): 低可用性への影響(A): 低 ※上記は、CVE-2024-36252の評価になります。
CVSS v3 による深刻度基本値: 5.1 (警告) [IPA値] 攻撃元区分: ローカル攻撃条件の複雑さ: 高攻撃に必要な特権レベル: 不要利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): 高完全性への影響(I): なし可用性への影響(A): なし ※上記は、CVE-2024-36480の評価になります。
CVSS v3 による深刻度基本値: 4.0 (警告) [IPA値] 攻撃元区分: ローカル攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): なし完全性への影響(I): 低可用性への影響(A): なし ※上記は、CVE-2024-37124の評価になります。
CVSS v3 による深刻度基本値: 4.0 (警告) [IPA値] 攻撃元区分: ローカル攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): なし完全性への影響(I): 低可用性への影響(A): なし ※上記は、CVE-2024-37387の評価になります。
影響を受けるシステム

リコー RICOH Streamline NX PC クライアント ver.3.6.xおよびそれ以前(CVE-2024-36252) RICOH Streamline NX PC クライアント ver.3.7.2およびそれ以前(CVE-2024-36480) RICOH Streamline NX PC クライアント ver.3.2.1.19、ver.3.3.1.3、ver.3.3.2.201、ver.3.4.3.1、ver.3.5.1.201（ver.3.5.1.200op1）、ver.3.6.100.53、ver.3.6.2.1(CVE-2024-37124、CVE-2024-37387)

想定される影響
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。当該製品をインストールしたPC上で、任意のコードを実行される（CVE-2024-36252）攻撃者によって、当該製品をインストールしたPCのローカルシステムアカウントを取得される。結果として、当該製品をインストールしたPC上で任意の操作を実行される（CVE-2024-36480）当該製品をインストールしたPC上に任意のファイルを作成される（CVE-2024-37124）当該製品をインストールしたPC上のファイルを改ざんされる（CVE-2024-37387）
対策
[アップデートする] 開発者が提供する情報をもとに、修正バージョンに対応するインストーラを適用し、アップデートしてください。詳細は、開発者が提供する情報を確認してください。
ベンダ情報
リコー株式会社リコー : Notice of security investigation: Arbitrary code execution vulnerability caused by ECF library implementation. 株式会社リコー : Notice of security investigation: Vulnerability that an attacker can escalate privileges to NT Authority\System on the OS where RICOH Streamline NX PC Client is installed. 株式会社リコー : Notice of security investigation: Vulnerability that an attacker can write arbitrary property files at any place of the filesystem. 株式会社リコー : Notice of security investigation: Vulnerability that an attacker can read and delete any file on the operating system.
CWEによる脆弱性タイプ一覧 CWEとは?
その他(CWE-Other) [IPA評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2024-36252 CVE-2024-36480 CVE-2024-37124 CVE-2024-37387
参考情報
JVN : JVN#00442488
更新履歴
[2024年06月18日] 掲載


公表日	2024/06/18
登録日	2024/06/18
最終更新日	2024/06/18

Ricoh Streamline NX PC Clientにおける複数の脆弱性