東芝テック製デジタル複合機の脆弱性対応について

平素は当社製品をご愛用いただきまして誠にありがとうございます。
このたび、当社製デジタル複合機の一部製品において、脆弱性問題が確認されました。なお、本問題で製品内の機密情報が外部に流出するなどの問題は発生していません。

脆弱性の内容

対象製品：e-STUDIO 908/ 1058/ 1208 (本製品は、北米市場のみで導入しております)

1. 複合機内部のWebサーバーにおいて領域外のメモリ参照を引き起こし、ハングアップを発生させるおそれがある
   ：CVE-2024-42420/ 43424/ 45829
2. 複合機内部のWebサーバーにおいてパストラバーサル実行可能なページが存在する
   ：CVE-2024-45842
3. 複合機内部のWebサーバーにおいてアクセス権が適切でないAPIが存在する
   ：CVE-2024-47005
4. 複合機内部のWebサーバーにおいて認証機能を迂回できる経路が存在する
   ：CVE-2024-47406
5. 複合機内部のWebサーバーにおいてHTTP ヘッダインジェクション実行可能なページが存在する
   ：CVE-2024-47549
6. 複合機内部のWebサーバーにおいてクロスサイトスクリプティング実行可能なページが存在する
   ：CVE-2024-47801/ 48870

解決方法：

サービス実施店より本体ソフトウェアのバージョンアップをご案内します。

回避方法：

インターネット接続を行う場合、取扱説明書にある通りファイアウォール経由で保護されたネットワークに接続ください。また、ユーザ認証を有効とし、パスワードなどを適切に管理いただくようお願いします。