JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は10月25日、「JVNVU#95063136: シャープ製および東芝テック製複合機(MFP)における複数の脆弱性」において、シャープおよび東芝テックの複合機(MFP)に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者に認証を回避され一部機能に不正アクセスされる可能性がある。

  • JVNVU#95063136: シャープ製および東芝テック製複合機(MFP)における複数の脆弱性

    JVNVU#95063136: シャープ製および東芝テック製複合機(MFP)における複数の脆弱性

脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

脆弱性の情報(CVE)は次のとおり。

  • CVE-2024-42420 - 境界外読み取りの脆弱性。キーワード検索入力およびSOAPメッセージの処理に不具合(CVSSスコア: 7.5)
  • CVE-2024-43424 - 境界外読み取りの脆弱性。HTTPリクエストヘッダーの処理に不具合(CVSSスコア: 7.5)
  • CVE-2024-45829 - 境界外読み取りの脆弱性。HTTPリクエストのクエリパラメーターの処理に不具合(CVSSスコア: 4.9)
  • CVE-2024-45842 - パストラバーサルの脆弱性。HTTPリクエストの統一資源識別子(URI: Uniform Resource Identifier)データ処理に不具合(CVSSスコア: 5.3)
  • CVE-2024-47005 - 設定関連APIに不十分なアクセス制限の脆弱性(CVSSスコア: 8.1)
  • CVE-2024-47406 - HTTP認証処理に認証回避の脆弱性(CVSSスコア: 9.1)
  • CVE-2024-47549 - HTTPレスポンスヘッダーに意図しないデータ混入の脆弱性(CVSSスコア: 7.4)
  • CVE-2024-47801 - クロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性。HTTPリクエストのクエリパラメーターの処理に不具合(CVSSスコア: 7.4)
  • CVE-2024-48870 - 蓄積型クロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性。統一資源識別子(URI)の検証に不具合(CVSSスコア: 6.2)

脆弱性が存在する製品

脆弱性が存在する製品およびファームウェアバージョンは次のとおり。

  • BP-90C70 210およびこれ以前のバージョン
  • BP-90C80 210およびこれ以前のバージョン
  • BP-70C65 320およびこれ以前のバージョン
  • BP-70C55 320およびこれ以前のバージョン
  • BP-70C45 320およびこれ以前のバージョン
  • BP-70C36 320およびこれ以前のバージョン
  • BP-70C31 320およびこれ以前のバージョン
  • BP-60C45 320およびこれ以前のバージョン
  • BP-60C36 320およびこれ以前のバージョン
  • BP-60C31 320およびこれ以前のバージョン
  • BP-50C65 320およびこれ以前のバージョン
  • BP-50C55 320およびこれ以前のバージョン
  • BP-50C45 320およびこれ以前のバージョン
  • BP-50C36 320およびこれ以前のバージョン
  • BP-50C31 320およびこれ以前のバージョン
  • BP-50C26 320およびこれ以前のバージョン
  • BP-55C26 320およびこれ以前のバージョン
  • MX-8081 160およびこれ以前のバージョン
  • MX-7081 160およびこれ以前のバージョン
  • MX-6071 613およびこれ以前のバージョン
  • MX-5071 613およびこれ以前のバージョン
  • MX-4071 613およびこれ以前のバージョン
  • MX-3571 613およびこれ以前のバージョン
  • MX-3071 613およびこれ以前のバージョン
  • MX-4061 613およびこれ以前のバージョン
  • MX-3561 613およびこれ以前のバージョン
  • MX-3061 613およびこれ以前のバージョン
  • MX-6051 613およびこれ以前のバージョン
  • MX-5051 613およびこれ以前のバージョン
  • MX-4051 613およびこれ以前のバージョン
  • MX-3551 613およびこれ以前のバージョン
  • MX-3051 613およびこれ以前のバージョン
  • MX-2651 613およびこれ以前のバージョン
  • MX-6071S 613およびこれ以前のバージョン
  • MX-5071S 613およびこれ以前のバージョン
  • MX-4071S 613およびこれ以前のバージョン
  • MX-3571S 613およびこれ以前のバージョン
  • MX-3071S 613およびこれ以前のバージョン
  • MX-4061S 613およびこれ以前のバージョン
  • MX-3561S 613およびこれ以前のバージョン
  • MX-3061S 613およびこれ以前のバージョン
  • BP-30C25 130およびこれ以前のバージョン
  • BP-30C25Y 130およびこれ以前のバージョン
  • BP-30C25Z 130およびこれ以前のバージョン
  • BP-30C25T 130およびこれ以前のバージョン
  • MX-7580N 503およびこれ以前のバージョン
  • MX-6580N 503およびこれ以前のバージョン
  • MX-8090N 405およびこれ以前のバージョン
  • MX-7090N 405およびこれ以前のバージョン
  • MX-6070N 802およびこれ以前のバージョン
  • MX-5070N 802およびこれ以前のバージョン
  • MX-4070N 802およびこれ以前のバージョン
  • MX-3570N 802およびこれ以前のバージョン
  • MX-3070N 802およびこれ以前のバージョン
  • MX-4060N 802およびこれ以前のバージョン
  • MX-3560N 802およびこれ以前のバージョン
  • MX-3060N 802およびこれ以前のバージョン
  • MX-6070V 802およびこれ以前のバージョン
  • MX-5070V 802およびこれ以前のバージョン
  • MX-4070V 802およびこれ以前のバージョン
  • MX-3570V 802およびこれ以前のバージョン
  • MX-3070V 802およびこれ以前のバージョン
  • MX-4060V 802およびこれ以前のバージョン
  • MX-3560V 802およびこれ以前のバージョン
  • MX-3060V 802およびこれ以前のバージョン
  • MX-6070N A 802およびこれ以前のバージョン
  • MX-4070N A 802およびこれ以前のバージョン
  • MX-3070N A 802およびこれ以前のバージョン
  • MX-6070V A 802およびこれ以前のバージョン
  • MX-4070V A 802およびこれ以前のバージョン
  • MX-3070V A 802およびこれ以前のバージョン
  • MX-6050N 802およびこれ以前のバージョン
  • MX-5050N 802およびこれ以前のバージョン
  • MX-4050N 802およびこれ以前のバージョン
  • MX-3550N 802およびこれ以前のバージョン
  • MX-3050N 802およびこれ以前のバージョン
  • MX-6050V 802およびこれ以前のバージョン
  • MX-5050V 802およびこれ以前のバージョン
  • MX-4050V 802およびこれ以前のバージョン
  • MX-3550V 802およびこれ以前のバージョン
  • MX-3050V 802およびこれ以前のバージョン
  • MX-2630N 802およびこれ以前のバージョン
  • MX-3050N A 802およびこれ以前のバージョン
  • MX-3050V A 802およびこれ以前のバージョン
  • BP-C545WD 262およびこれ以前のバージョン
  • BP-C542WD 262およびこれ以前のバージョン
  • BP-C535WD 262およびこれ以前のバージョン
  • BP-C533WD 262およびこれ以前のバージョン
  • BP-C535WR 262およびこれ以前のバージョン
  • BP-C533WR 262およびこれ以前のバージョン
  • MX-C304W 520およびこれ以前のバージョン
  • MX-C303W 520およびこれ以前のバージョン
  • MX-C304 520およびこれ以前のバージョン
  • MX-C303 520およびこれ以前のバージョン
  • MX-C304WH 520およびこれ以前のバージョン
  • MX-C303WH 520およびこれ以前のバージョン
  • BP-70M90 310およびこれ以前のバージョン
  • BP-70M75 310およびこれ以前のバージョン
  • BP-70M65 320およびこれ以前のバージョン
  • BP-70M55 320およびこれ以前のバージョン
  • BP-70M45 320およびこれ以前のバージョン
  • BP-70M36 320およびこれ以前のバージョン
  • BP-70M31 320およびこれ以前のバージョン
  • BP-50M55 320およびこれ以前のバージョン
  • BP-50M50 320およびこれ以前のバージョン
  • BP-50M45 320およびこれ以前のバージョン
  • BP-50M36 320およびこれ以前のバージョン
  • BP-50M31 320およびこれ以前のバージョン
  • BP-50M26 320およびこれ以前のバージョン
  • MX-M1206 200(MX-FR66Uを含まない)およびこれ以前のバージョン
  • MX-M1056 200(MX-FR66Uを含まない)およびこれ以前のバージョン
  • MX-M1206 210(MX-FR66Uを含む)およびこれ以前のバージョン
  • MX-M1056 210(MX-FR66Uを含む)およびこれ以前のバージョン
  • MX-M7570 456およびこれ以前のバージョン
  • MX-M6570 456およびこれ以前のバージョン
  • MX-M6071 413およびこれ以前のバージョン
  • MX-M5071 413およびこれ以前のバージョン
  • MX-M4071 413およびこれ以前のバージョン
  • MX-M3571 413およびこれ以前のバージョン
  • MX-M3071 413およびこれ以前のバージョン
  • MX-M6051 413およびこれ以前のバージョン
  • MX-M5051 413およびこれ以前のバージョン
  • MX-M4051 413およびこれ以前のバージョン
  • MX-M3551 413およびこれ以前のバージョン
  • MX-M3051 413およびこれ以前のバージョン
  • MX-M2651 413およびこれ以前のバージョン
  • MX-M3571S 413およびこれ以前のバージョン
  • MX-M3071S 413およびこれ以前のバージョン
  • MX-M6071S 413およびこれ以前のバージョン
  • MX-M5071S 413およびこれ以前のバージョン
  • MX-M4071S 413およびこれ以前のバージョン
  • BP-30M35 220およびこれ以前のバージョン
  • BP-30M31 220およびこれ以前のバージョン
  • BP-30M28 220およびこれ以前のバージョン
  • BP-30M35T 220およびこれ以前のバージョン
  • BP-30M31T 220およびこれ以前のバージョン
  • BP-30M28T 220およびこれ以前のバージョン
  • MX-B476W 413およびこれ以前のバージョン
  • MX-B376W 413およびこれ以前のバージョン
  • MX-B456W 413およびこれ以前のバージョン
  • MX-B356W 413およびこれ以前のバージョン
  • MX-B476WH 413およびこれ以前のバージョン
  • MX-B376WH 413およびこれ以前のバージョン
  • MX-B456WH 413およびこれ以前のバージョン
  • MX-B356WH 413およびこれ以前のバージョン
  • MX-M905 612およびこれ以前のバージョン
  • MX-M6070 503およびこれ以前のバージョン
  • MX-M5070 503およびこれ以前のバージョン
  • MX-M4070 503およびこれ以前のバージョン
  • MX-M3570 503およびこれ以前のバージョン
  • MX-M3070 503およびこれ以前のバージョン
  • MX-M6050 503およびこれ以前のバージョン
  • MX-M5050 503およびこれ以前のバージョン
  • MX-M4050 503およびこれ以前のバージョン
  • MX-M3550 503およびこれ以前のバージョン
  • MX-M3050 503およびこれ以前のバージョン
  • MX-M2630 503およびこれ以前のバージョン
  • MX-M6070 A 503およびこれ以前のバージョン
  • MX-M4070 A 503およびこれ以前のバージョン
  • MX-M3070 A 503およびこれ以前のバージョン
  • MX-M3050 A 503およびこれ以前のバージョン
  • MX-M2630 A 503およびこれ以前のバージョン
  • BP-B550WD 260およびこれ以前のバージョン
  • BP-B540WR 260およびこれ以前のバージョン
  • BP-B547WD 260およびこれ以前のバージョン
  • BP-B537WR 260およびこれ以前のバージョン
  • MX-B455W 404(MX-FR59Uを含まない)およびこれ以前のバージョン
  • MX-B355W 404(MX-FR59Uを含まない)およびこれ以前のバージョン
  • MX-B455WZ 404(MX-FR59Uを含まない)およびこれ以前のバージョン
  • MX-B355WZ 404(MX-FR59Uを含まない)およびこれ以前のバージョン
  • MX-B455WT 404(MX-FR59Uを含まない)およびこれ以前のバージョン
  • MX-B355WT 404(MX-FR59Uを含まない)およびこれ以前のバージョン
  • MX-B455W 405(MX-FR59Uを含む)およびこれ以前のバージョン
  • MX-B355W 405(MX-FR59Uを含む)およびこれ以前のバージョン
  • MX-B455WZ 405(MX-FR59Uを含む)およびこれ以前のバージョン
  • MX-B355WZ 405(MX-FR59Uを含む)およびこれ以前のバージョン
  • MX-B455WT 405(MX-FR59Uを含む)およびこれ以前のバージョン
  • MX-B355WT 405(MX-FR59Uを含む)およびこれ以前のバージョン
  • e-STUDIO 908
  • e-STUDIO 1058
  • e-STUDIO 1208

脆弱性が存在し、サポート終了(EOL: End-of-Life)となっている製品は次のとおり。これら製品については製品の使用中止、後継機種への交換、開発者の提供する緩和策の実施のいずれかが推奨されている。

  • MX-7500N
  • MX-6500N
  • MX-7040N
  • MX-6240N
  • MX-5141N
  • MX-5140N
  • MX-4141N
  • MX-4140N
  • MX-5141N A
  • MX-4140N A
  • MX-3640N
  • MX-3140N
  • MX-2640N
  • MX-3140N A
  • MX-3640NR
  • MX-3140NR
  • MX-2640NR
  • MX-3116N
  • MX-2616N
  • MX-3115N
  • MX-2615N
  • MX-2615 A
  • MX-5112N
  • MX-5111N
  • MX-5110N
  • MX-4112N
  • MX-4111N
  • MX-4110N
  • MX-3610N
  • MX-3110N
  • MX-2610N
  • MX-3110N A
  • MX-3610NR
  • MX-C301W
  • MX-C301
  • MX-2314N
  • MX-2314NR
  • MX-3111U
  • MX-2310U
  • MX-2310R
  • MX-2010U
  • MX-1810U
  • MX-C401
  • DX-C401
  • DX-C401 J
  • MX-C400
  • DX-C400
  • MX-C381
  • DX-C381
  • MX-C380
  • MX-C381B
  • MX-C312
  • MX-C311
  • DX-C311
  • DX-C311J
  • MX-C310
  • DX-C310
  • MX-C400P
  • MX-C380P
  • MX-C402SC
  • MX-C382SC
  • MX-C382SCB
  • MX-5001N
  • MX-5000N
  • MX-4101N
  • MX-4100N
  • MX-3100N
  • MX-3100G
  • MX-2600N
  • MX-2600G
  • MX-3101N
  • MX-2601N
  • MX-2301N
  • DX-2500N
  • DX-2000U
  • MX-M1205
  • MX-M1055
  • MX-M1204
  • MX-M1054
  • MX-M904
  • MX-M754N
  • MX-M654N
  • MX-M754N A
  • MX-M654N A
  • MX-M565N
  • MX-M465N
  • MX-M365N
  • MX-M465N A
  • MX-M365N A
  • MX-M564N
  • MX-M464N
  • MX-M364N
  • MX-M564N A
  • MX-M356N
  • MX-M316N
  • MX-M315N
  • MX-M356U
  • MX-M315U
  • MX-M266N
  • MX-M265N
  • MX-M265U
  • MX-M315NE
  • MX-M265NE
  • MX-M356NV
  • MX-M316NV
  • MX-M315NV
  • MX-M356UV
  • MX-M315UV
  • MX-M266NV
  • MX-M265NV
  • MX-M265UV
  • MX-M315NE
  • MX-M265NE
  • MX-M315V
  • MX-M265V
  • MX-M354N
  • MX-M314N
  • MX-M264N
  • MX-M354U
  • MX-M314U
  • MX-M264U
  • MX-M314NV
  • MX-M264NV
  • MX-M354NR
  • MX-M314NR
  • MX-M264NR
  • MX-B402
  • MX-B382
  • MX-B402P
  • MX-B382P
  • MX-B402SC
  • MX-B382SC
  • MX-B401
  • MX-B381
  • MX-B400P
  • MX-B380P
  • MX-M753N
  • MX-M753U
  • MX-M623N
  • MX-M623U
  • MX-M503N
  • MX-M453N
  • MX-M363N
  • MX-M283N
  • MX-M503U
  • MX-M453U
  • MX-M363U

脆弱性の中で最も深刻度の高いものは緊急(Critical)と評価されており注意が必要。JPCERT/CCは開発者の提供する情報をもとに、アップデートを適用することを推奨している。