お知らせ

東芝テック製デジタル複合機の一部製品に搭載された
「ウェブブラウザーによる設定」機能における脆弱性対応について

東芝テック株式会社
2024年3月6日

平素は当社製品をご愛用いただきまして誠にありがとうございます。

このたび、当社製デジタル複合機の一部製品において、「ウェブブラウザーによる設定」機能において脆弱性問題が確認されました。なお、本問題で製品内の情報が外部に流出するなどの問題はありません。

脆弱性の内容

対象製品
e-STUDIO 301DN/ 302DNF(本製品は、中国市場のみにて販売しております。)
1.脆弱性識別番号
CVE-2024-21824 セッション管理不備の脆弱性
詳細
通信の盗聴やユーザーのブラウザに攻撃を受けてクッキーの値を詐取された場合に、そのクッキーの値を使って、サーバー設定画面にログインされる可能性がある。
2.脆弱性識別番号
CVE-2024-22475 クロスサイトリクエストフォージェリの脆弱性
詳細
製品の管理者が、攻撃者が設置したWebページにアクセスし、当該製品にリクエストを送信することで、攻撃を受けた製品のウェブブラウザーによる設定(Web Based Management)の設定値が変更される可能性がある。

解決方法
サービス実施店より本体ソフトウェアのバージョンアップをご案内します。
回避方法
インターネット接続を行う場合、取扱説明書にある通りファイアウォール経由で保護されたネットワークに接続ください。