お知らせ: 酷似サイトにご注意ください

シャープと東芝テックのデジタル複合機に複数の脆弱性、更新を

掲載日 2024/06/04 08:31

著者：後藤大地

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は5月31日、「JVNVU#93051062: シャープ製および東芝テック製の複合機（MFP）における複数の脆弱性」において、シャープおよび東芝テックのデジタル複合機に複数の脆弱性が存在するとして、注意を喚起した。これら脆弱性を悪用されると、攻撃者に任意のコードをファームウェア上で実行される可能性がある。

JVNVU#93051062: シャープ製および東芝テック製の複合機（MFP）における複数の脆弱性

脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

脆弱性の情報(CVE)は次のとおり。

CVE-2024-28038 - 複合機内部のWebサーバにスタックベースのバッファーオーバーフローの脆弱性
CVE-2024-28955 - 不適切な権限設定の脆弱性。別の脆弱性を併用することで複合機の機密情報を含んだファイルを参照できる
CVE-2024-29146、CVE-2024-29978 - 不適切な機密情報保護の脆弱性。別の脆弱性を併用することで平文として保存された機密情報を閲覧できる
CVE-2024-32151 - 複合機の一部の機密情報は別の脆弱性を利用することで復号可能
CVE-2024-33605 - 複合機内部のWebサーバにパストラバーサルの脆弱性
CVE-2024-33610 - 複合機のWebページに不適切なアクセス権の脆弱性
CVE-2024-33616 - 不適切な資格情報で認証を回避し、情報にアクセスする脆弱性
CVE-2024-34162 - 複合機内部のWebサーバに資格情報漏洩の脆弱性
CVE-2024-35244 - 一部機能の資格情報をハードコーディングしている脆弱性
CVE-2024-36248 - 外部サイトの資格情報をハードコーディングしている脆弱性
CVE-2024-36249 - 複合機内部のWebサーバにクロスサイトスクリプティング(XSS)の脆弱性
CVE-2024-36251、CVE-2024-36254 - 複合機内部のWebサーバに領域外メモリ参照の脆弱性

脆弱性が存在する製品

脆弱性が存在する製品およびバージョンは次のとおり。下記バージョンはファームウェアバージョンの上2から4桁目を抽出したもの。

BP-70C65 310およびこれ以前のバージョン
BP-70C55 310およびこれ以前のバージョン
BP-70C45 310およびこれ以前のバージョン
BP-70C26 310およびこれ以前のバージョン
BP-60C36 310およびこれ以前のバージョン
BP-60C31 310およびこれ以前のバージョン
BP-60C26 310およびこれ以前のバージョン
BP-50C65 310およびこれ以前のバージョン
BP-50C55 310およびこれ以前のバージョン
BP-50C45 310およびこれ以前のバージョン
BP-40C36 310およびこれ以前のバージョン
BP-40C26 310およびこれ以前のバージョン
MX-8081 150およびこれ以前のバージョン
MX-6171 612およびこれ以前のバージョン
MX-5171 612およびこれ以前のバージョン
MX-4171 612およびこれ以前のバージョン
MX-3661 612およびこれ以前のバージョン
MX-3161 612およびこれ以前のバージョン
MX-2661 612およびこれ以前のバージョン
MX-6151 612およびこれ以前のバージョン
MX-5151 612およびこれ以前のバージョン
MX-4151 612およびこれ以前のバージョン
MX-3631 612およびこれ以前のバージョン
MX-2631 612およびこれ以前のバージョン
BP-30C25 123およびこれ以前のバージョン
MX-6170FN 801およびこれ以前のバージョン
MX-5170FN 801およびこれ以前のバージョン
MX-4170FN 801およびこれ以前のバージョン
MX-6170FV 801およびこれ以前のバージョン
MX-5170FV 801およびこれ以前のバージョン
MX-4170FV 801およびこれ以前のバージョン
MX-6150FN 801およびこれ以前のバージョン
MX-5150FN 801およびこれ以前のバージョン
MX-4150FN 801およびこれ以前のバージョン
MX-3650FN 801およびこれ以前のバージョン
MX-3150FN 801およびこれ以前のバージョン
MX-2650FN 801およびこれ以前のバージョン
MX-6150FV 801およびこれ以前のバージョン
MX-5150FV 801およびこれ以前のバージョン
MX-4150FV 801およびこれ以前のバージョン
MX-3650FV 801およびこれ以前のバージョン
MX-3150FV 801およびこれ以前のバージョン
MX-2650FV 801およびこれ以前のバージョン
MX-3630FN 801およびこれ以前のバージョン
MX-2630FN 801およびこれ以前のバージョン
MX-3117FN 202およびこれ以前のバージョン
MX-2517FN 202およびこれ以前のバージョン
MX-2020F 202およびこれ以前のバージョン
MX-C306W 512およびこれ以前のバージョン
MX-C305W 512およびこれ以前のバージョン
BP-70M90 303およびこれ以前のバージョン
BP-70M75 303およびこれ以前のバージョン
BP-70M65 310およびこれ以前のバージョン
BP-70M55 310およびこれ以前のバージョン
BP-70M45 310およびこれ以前のバージョン
MX-M1206 113およびこれ以前のバージョン
MX-M1056 113およびこれ以前のバージョン
MX-M7570 455およびこれ以前のバージョン
MX-M6570 455およびこれ以前のバージョン
MX-M6071 412およびこれ以前のバージョン
MX-M5071 412およびこれ以前のバージョン
MX-M4071 412およびこれ以前のバージョン
MX-M3531 412およびこれ以前のバージョン
BP-30M35 211およびこれ以前のバージョン
BP-30M31 211およびこれ以前のバージョン
BP-30M28 211およびこれ以前のバージョン
BP-30M31L 211およびこれ以前のバージョン
MX-M6070 502およびこれ以前のバージョン
MX-M5070 502およびこれ以前のバージョン
MX-M4070 502およびこれ以前のバージョン
MX-B455W 404およびこれ以前のバージョン
e-STUDIO 908 バージョン非公開
e-STUDIO 1058 バージョン非公開
e-STUDIO 1208 バージョン非公開

サポートが終了した製品

脆弱性が存在し、サポートが終了している製品は次のとおり。

サポートが終了した製品は開発者の指示に従い回避策を実施するか、または後継機種へ交換することが推奨されている。サポート中の製品は販売店または相談窓口に連絡し、案内に従ってファームウェアをアップデートすることが推奨されている。

新規無料会員登録はこちらから

ログイン／無料会員登録

会員サービスの詳細はこちら

AIが勧める、あなたのための会員限定記事

アクセスランキング

ランキングをもっと見る

もっと見る

編集部が選ぶ関連記事

関連リンク

JVN

※本記事は掲載時点の情報であり、最新のものとは異なる場合があります。予めご了承ください。

新着記事

こちらも注目

このカテゴリーについて

セキュリティの最新技術を紹介します。マルウェアやフィッシングサイトはもちろん、標的型攻撃、ハクティビストなども網羅します。