公開日:2023/07/27 最終更新日:2023/08/02

JVNVU#98785541
京セラドキュメントソリューションズ製複合機およびプリンターのCommand Center RX(CCRX)における複数の脆弱性

概要

京セラドキュメントソリューションズ株式会社が提供する複合機およびプリンターのWebインタフェースであるCommand Center RX(CCRX)には、複数の脆弱性が存在します。

影響を受けるシステム

影響を受ける製品は複数存在します。
詳しくは、開発者が提供する情報をご確認ください。

詳細情報

京セラドキュメントソリューションズ株式会社が提供する複合機およびプリンターのWebインタフェースであるCommand Center RX(CCRX)には、次の複数の脆弱性が存在します。

  • パストラバーサル (CWE-22) - CVE-2023-34259
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値: 7.5
  • パストラバーサル (CWE-22) - CVE-2023-34260
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値: 7.5
  • セキュリティ関連の処理に対するレスポンスの違いに起因する情報漏えい (CWE-204) - CVE-2023-34261
    CVSS v3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値: 5.3

想定される影響

遠隔の第三者によって、機微な情報を窃取されたり、サービス運用妨害(DoS)攻撃が行われたりする可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。
詳細は、保守実施店に確認してください。

ワークアラウンドを実施する
対策版を適用するまでの間、信頼できない第三者からのアクセスを防ぐために、次のような対応を実施してください。

  • ファイアウォールなどで保護された環境の中で使用する
  • プライベートIPアドレスで使用する

ベンダ情報

ベンダ リンク
京セラドキュメントソリューションズ株式会社 KYOCERA Command Center RX (CCRX) Security Vulnerability
当社製複合機・プリンターのセキュリティー脆弱性について

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、下記の方が製品開発者に直接報告し、製品開発者との調整を経て、製品利用者への周知を目的に JVN での公表に至りました。
報告者: SEC Consult Stefan Michlits 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia

更新履歴

2023/08/02
[影響を受けるシステム]の開発者が提供する情報のリンク先を更新し、[ベンダ情報]にリンクを追加しました