公開日:2023/11/01 最終更新日:2023/11/01
JVNVU#96482726
富士フイルムビジネスイノベーション製およびXerox Corporation製複合機(MFP)における脆弱性
富士フイルムビジネスイノベーション製およびXerox Corporation製の複数の複合機(MFP)では、アドレス帳に格納された情報をエクスポートする際、十分な強度の暗号化を行っていません。
富士フイルムビジネスイノベーション製およびXerox Corporation製の複数の複合機(MFP)には、アドレス帳に格納されている情報を暗号化した形でエクスポートする機能が提供されていますが、十分な強度の暗号化を行っていません(CWE-1391)。
暗号化鍵と暗号化処理内容を知っている第三者が、当該製品のアドレス帳からエクスポートされたデータを入手した場合、接続先サーバーの認証情報などを取得する可能性があります。
アップデートする
各製品開発者が提供する情報をもとに、ファームウェアをアップデートしてください。
詳しくは、[ベンダ情報]に掲載の各製品開発者が提供している情報を参照してください。
| ベンダ | リンク |
| 富士フイルムビジネスイノベーション | 弊社複合機のアドレス帳の暗号化処理における脆弱性について |
| Xerox Corporation | Mini Bulletin XRX23-015 CVE-2023-46327 |
CVSS v3
CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:L/A:N
基本値:
5.4
| 攻撃元区分(AV) | 物理 (P) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
|---|---|---|---|---|
| 攻撃条件の複雑さ(AC) | 高 (H) | 低 (L) | ||
| 必要な特権レベル(PR) | 高 (H) | 低 (L) | 不要 (N) | |
| ユーザ関与レベル(UI) | 要 (R) | 不要 (N) | ||
| スコープ(S) | 変更なし (U) | 変更あり (C) | ||
| 機密性への影響(C) | なし (N) | 低 (L) | 高 (H) | |
| 完全性への影響(I) | なし (N) | 低 (L) | 高 (H) | |
| 可用性への影響(A) | なし (N) | 低 (L) | 高 (H) |
分析結果のコメント
エクスポートされたアドレス帳データを攻撃者が入手し、当該製品がスキャンデータを保存するサーバーに接続する際に使用する認証情報を取得してサーバー上のファイルを改ざんする、という攻撃シナリオを想定しています。
この脆弱性情報は、下記の方が製品開発者に報告し、報告者および製品開発者がJPCERT/CCとの調整を経て公表に至りました。
報告者: Pen Test Partners Kunal Thakrar 氏、Ceri Coburn 氏
