独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は11月1日、京セラドキュメントソリューションズ製の複合機およびプリンタの Web インタフェースにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。横浜国立大学の佐々木貴之氏、乃万誉也氏、吉岡克成氏が報告を行っている。影響を受けるシステムは以下の通り。
・カラー複合機
TASKalfa 7550ci/6550ci
TASKalfa 5550ci/4550ci/3550ci/3050ci
TASKalfa 255c/205c
TASKalfa 256ci/206ci
ECOSYS M6526cdn/M6526cidn
FS-C2126MFP/C2126MFP+/C2026MFP/C2026MFP+
・モノクロ複合機
TASKalfa 8000i/6500i
TASKalfa 5500i/4500i/3500i
TASKalfa 305/255
TASKalfa 306i/256i
LS-3140MFP/3140MFP+/3640MFP
ECOSYS M2535dn
LS-1135MFP/1035MFP
・カラープリンター
LS-C8650DN/C8600DN
ECOSYS P6026cdn
FS-C5250DN
・モノクロプリンター
LS-4300DN/4200DN/2100DN
ECOSYS P4040dn
ECOSYS P2135dn
FS-1370DN
京セラドキュメントソリューションズ株式会社が提供する複合機及びプリンタのWeb インタフェース「Command Center」には、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・セッション情報を容易に推測可能な問題(CVE-2022-41798)
→隣接するネットワーク上の第三者が推測したセッション情報を使用することによって正規ユーザになりすましてログインされる
・認証欠如(CVE-2022-41807)
→隣接するネットワーク上の第三者に細工されたリクエストを送信されることによって認証無しで設定を変更される
・格納型クロスサイトスクリプティング(CVE-2022-41830)
→管理者権限でログインしているユーザのWebブラウザ上で任意のスクリプトを実行される
JVNでは、開発者が提供する情報をもとに、ファームウェアを最新版へアップデートするよう呼びかけている。また、対策版を適用するまでの間、信頼できない第三者からのアクセスを防ぐために、ファイアウォールなどで保護された環境の中で使用する、プライベート IP アドレスで使用する等を推奨している。
