お知らせ
東芝テック製デジタル複合機の一部製品における脆弱性対応について
2025年6月25日
東芝テック株式会社
平素は当社製品をご愛用いただきまして誠にありがとうございます。
このたび、当社製デジタル複合機の一部製品において、以下の脆弱性問題が確認されました。なお、本問題で製品内の情報が外部に流出するなどの問題はありません。
脆弱性の内容
対象製品:e-STUDIO 301DN/ 302DNF(本製品は、中国市場のみにて販売しております。)
| 参照識別番号 | 参照サイト |
|---|---|
| CVE-2017-9765 JVNVU#98807587 |
https://www.cve.org/CVERecord?id=CVE-2017-9765 スタックバッファオーバーフローの脆弱性 |
| CVE-2024-2169 VNVU#93188600 |
https://www.cve.org/CVERecord?id=CVE-2024-2169 サーバー間でメッセージの無限ループが起きる脆弱性 |
| CVE-2024-51977 JVNVU#90043828 |
https://www.cve.org/CVERecord?id=CVE-2024-51977 プリンター内の情報流出の可能性 |
| CVE-2024-51978 JVNVU#90043828 |
https://www.cve.org/CVERecord?id=CVE-2024-51978 認証バイパスの可能性 |
| CVE-2024-51980 JVNVU#90043828 |
https://www.cve.org/CVERecord?id=CVE-2024-51980 強制的にTCP接続される可能性 |
| CVE-2024-51981 JVNVU#90043828 |
https://www.cve.org/CVERecord?id=CVE-2024-51981 任意のHTTPリクエスト実行の可能性 |
| CVE-2024-51983 JVNVU#90043828 |
https://www.cve.org/CVERecord?id=CVE-2024-51983 外部攻撃によりデバイスがクラッシュされる可能性 |
| CVE-2024-51984 JVNVU#90043828 |
https://www.cve.org/CVERecord?id=CVE-2024-51984 パスバック攻撃によるプリンター内の情報流出の可能性 |
- 解決方法
- サービス実施店より本体ソフトウェアのバージョンアップをご案内します。
- 回避方法
- インターネット接続を行う場合、取扱説明書にある通りファイアウォール経由で保護されたネットワークに接続ください。その他必要に応じて製品本体の「ウェブブラウザーによる設定」から個々に下記の設定を変更してください。
| 参照識別番号 | 回避方法 |
|---|---|
| CVE-2017-9765 | WSD機能を無効にしてください。 |
| CVE-2024-2169 | TFTPを無効にしてください。 |
| CVE-2024-51977 | 製品本体の「ウェブブラウザーによる設定」を無効にしてください。 |
| CVE-2024-51978 | 管理者パスワードを初期値から変更してください。 |
| CVE-2024-51980 | WSD機能を無効にしてください。 |
| CVE-2024-51981 | WSD機能を無効にしてください。 |
| CVE-2024-51983 | WSD機能を無効にしてください。 |
| CVE-2024-51984 | 管理者パスワードを初期値から変更してください。 |
謝辞:
CVE-2024-2169の脆弱性は、ドイツCISPA社のYepeng Pan様からご報告をいただきました。
CVE-2024-51977 - CVE-2024-51984の脆弱性は、アメリカRapid7社のPrincipal Security Researcher、Stephen Fewer様からご報告いただきました。
ご報告いただきありがとうございました。
