弊社カラー複合機の Web Connection における脆弱性の影響について
お客様各位
平素は当社製品をご利用いただき誠にありがとうございます。
対象の製品にセキュリティ脆弱性が存在することが判明しました。問題の概要、ならびに対応方法についてご説明いたします。
なお、本件脆弱性を悪用したセキュリティ被害は、現状まで確認されておりません。
| 参照識別番号 | CVSSv3.1 基本評価 | スコア | 脆弱性内容 |
|---|---|---|---|
| CVE-2025-5884 | CVSS:3.1/AV:N/AC:L/PR:L /UI:R/S:U/C:N/I:L/A:N |
3.5 | Web Connection の一部の入力フィールドに クロスサイトスクリプティング(CWE94, CWE-79)の 脆弱性が存在します。 |
| CVE-2025-5885 | CVSS:3.1/AV:N/AC:L /PR:N/UI:R/S:U/C:N/I:L/A:N |
4.3 | Web Connection にクロスサイトリクエストフォージェリ (CWE-352, CWE-862)の脆弱性が存在します。 |
| 製品名 | 対象バージョン | 対策予定 |
|---|---|---|
| MFX-C3690(N)/C3090(N)/C2590(N) MFX-C2860(N)/C2260(N/NK) |
すべてのバージョン | ファームウェア変更を検討中 |
| 参照識別番号 | 攻撃が成立する条件 |
|---|---|
| CVE-2025-5884 | 攻撃者がWeb Connection 右上の[装置検索]アイコン>[MFP 情報表示]の[機種名]フィールドにスクリプトを入力し、ユーザーがそれをクリックしてしまった場合に攻撃が成立する。ただし、問題が発生するのは、機種名の編集直後だけであるため、実際には被害が発生する可能性は極めて低い。 |
| CVE-2025-5885 | ユーザーがWeb Connection にアクセス中に、攻撃者が用意したWeb サイトに誘導され、不正なリクエストを送信するためのリンクをクリックした場合。 |
| 参照識別番号 | MFPへの影響 |
|---|---|
| CVE-2025-5884 | Web Connection にアクセスしているユーザーのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。 |
| CVE-2025-5885 | 当該の商品の設定値が意図せずに変更されてしまう、または、意図しない操作が実行されてしまう可能性があります。 |
解決策
Web Connection を使用しない設定へ変更するか、対策ファームウェアのリリースをお待ちください。
※設定方法はユーザーズガイドをご参照ください
回避策
今回の脆弱性も含め、一般的なセキュリティリスクを低減するため、各種セキュリティ設定のもとでご利用いただきますよう、お願いいたします。
- 管理者パスワードが初期設定のままになっている場合は、推測されにくいパスワードへ変更する。
- 複合機に設定するIPアドレスは、プライベートIPアドレスを設定し、ファイアーウォールなどで保護されたネットワークの中で利用する。
- IPアドレスフィルタリング機能で複合機にアクセス可能なネットワークの範囲を制限する
- ユーザー認証機能で複合機の利用者を制限し、パブリックユーザーを許可しない。
本件に関するお問い合わせ先
| インフォメーションセンター | 0120-610-917 FAX 0120-610-982 |
受付時間 月~金曜日(土日祝日・年末年始を除く) 9:00~17:30 |
以上