東芝テックおよびOKIの複合機に多くの脆弱性、アップデートを

画像提供：マイナビニュース

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は6月14日、「JVNVU#97136265: 東芝テック製および沖電気製複合機（MFP）における複数の脆弱性」において、東芝テックおよびOKI（沖電気）の複合機に複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、リモートから認証されていない第三者にデバイスを侵害される可能性がある。

○脆弱性に関する情報

脆弱性に関する情報は次のページにまとまっている。

東芝テック：東芝テック製デジタル複合機の脆弱性対応について
Response to vulnerabilities in OKI s digital multi-function peripherals | 2024 | Security Bulletins | OKI Europe Ltd

脆弱性の情報(CVE)は次のとおり。
○
CVE-2024-27141、CVE-2024-27142

XML外部実体(XXE: XML External Entity)の脆弱性。この脆弱性を悪用されると、攻撃者によりサービス運用妨害(DoS: Denial of Service)される可能性がある
○CVE-2024-27143

簡易ネットワーク管理プロトコル(SNMP: Simple Network Management Protocol)のプライベートコミュニティを使用することで、管理者権限によるリモートコード実行(RCE: Remote Code Execution)が可能な脆弱性
○
CVE-2024-27144、CVE-2024-27176、CVE-2024-27177、CVE-2024-27178、CVE-2024-7145

安全ではないファイルを上書きできる脆弱性。他の脆弱性と併用することでリモートからデバイスを侵害できる
○CVE-2024-27146

不適切な権限分離の脆弱性
○
CVE-2024-27147、CVE-2024-27148、CVE-2024-27149、CVE-2024-27150CVE-2024-27151、CVE-2024-27152、CVE-2024-27153

ローカル特権昇格の脆弱性
○CVE-2024-27154