JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は1月19日、「JVN#64806328: キヤノン製レーザープリンターおよびスモールオフィス向け複合機におけるクロスサイトスクリプティングの脆弱性」において、キヤノンのレーザープリンタおよびSOHO向け複合機の一部に脆弱性が存在すると伝えた。対象の脆弱性を悪用されると、設定画面にアクセスしたユーザーのWebブラウザで、任意のスクリプトが実行される恐れがある。

脆弱性に関する情報は次のページにまとまっている。

  • キヤノン:サポート|レーザープリンター及びスモールオフィス向け複合機のクロスサイトスクリプティングに関する脆弱性対応について

    キヤノン:サポート|レーザープリンター及びスモールオフィス向け複合機のクロスサイトスクリプティングに関する脆弱性対応について

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • LBP162L/LBP162
  • MF4890dw
  • MF269dw/MF265dw/MF264dw/MF262dw
  • MF249dw/MF245dw/MF244dw/MF242dw/MF232w
  • MF229dw/MF224dw/MF222dw

この脆弱性を悪用して攻撃を実行するには、製品の管理者権限での操作が必要であり、現時点では被害は確認されていないという。該当する製品はすでにアップデートされたファームウェアが提供されており、キヤノンは該当製品を最新のファームウェアへアップデートすることを推奨している。