JVNDB-2024-003539:東芝テック製および沖電気製複合機 (MFP) における複数の脆弱性

VRDA Feed by

Vulnerability Response Decision Assistance Feed : 脆弱性脅威分析用情報の定型データ配信

[ about VRDA Feed | JPCERT/CC ]

分析対象脆弱性情報 (リビジョン番号 : 1)

[ Download XML ]

JVNDB-2024-003539 ( CVE-2024-27165 | CVE-2024-27175 | CVE-2024-27149 | CVE-2024-27168 | CVE-2024-27156 | CVE-2024-27171 | CVE-2024-27172 | CVE-2024-27148 | CVE-2024-27161 | CVE-2024-27154 | CVE-2024-27167 | CVE-2024-27169 | CVE-2024-3498 | CVE-2024-27160 | CVE-2024-27178 | CVE-2024-27155 | CVE-2024-27144 | CVE-2024-27147 | CVE-2024-27159 | CVE-2024-27177 | CVE-2024-27153 | CVE-2024-27163 | CVE-2024-27146 | CVE-2024-27158 | CVE-2024-27176 | CVE-2024-27174 | CVE-2024-3497 | CVE-2024-27152 | CVE-2024-27162 | CVE-2024-27143 | CVE-2024-27179 | CVE-2024-27173 | CVE-2024-3496 | CVE-2024-27151 | CVE-2024-27164 | CVE-2024-27142 | CVE-2024-27166 | CVE-2024-27145 | CVE-2024-27180 | CVE-2024-27150 | CVE-2024-27170 | CVE-2024-27141 | CVE-2024-27157 )

東芝テック製および沖電気製複合機 (MFP) における複数の脆弱性

https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-003539.html

原文

東芝テック株式会社および沖電気工業株式会社が提供する複数の複合機 (MFP) には、次の複数の脆弱性が存在します。　* XML エンティティ拡張インジェクション (CWE-776) - CVE-2024-27141、CVE-2024-27142 　* 不要な権限による実行 (CWE-250) - CVE-2024-27143、CVE-2024-27146、CVE-2024-27147、CVE-2024-3498 　* インストール時のファイルアクセス権の設定が不適切 (CWE-276) - CVE-2024-27148、CVE-2024-27149、CVE-2024-27150、CVE-2024-27151、CVE-2024-27152、CVE-2024-27153、CVE-2024-27155、CVE-2024-27167、CVE-2024-27171 　* パストラバーサル (CWE-22) - CVE-2024-27144、CVE-2024-27145、CVE-2024-27173、CVE-2024-27174、CVE-2024-27176、CVE-2024-27177、CVE-2024-27178 　* ログファイルに含まれる機微な情報 (CWE-532) - CVE-2024-27154、CVE-2024-27156、CVE-2024-27157 　* パスワードの平文保存 (CWE-256) - CVE-2024-27166 　* デバッグメッセージによる情報漏えい (CWE-1295) - CVE-2024-27179 　* デフォルト認証情報の使用 (CWE-1392) - CVE-2024-27158 　* ハードコードされた認証情報の使用 (CWE-798) - CVE-2024-27159、CVE-2024-27160、CVE-2024-27161、CVE-2024-27168、CVE-2024-27170 　* ハードコードされたパスワードの使用 (CWE-259) - CVE-2024-27164 　* クロスサイトスクリプティング (CWE-79) - CVE-2024-27162 　* 重要な情報の平文送信 (CWE-319) - CVE-2024-27163 　* 権限侵害 (CWE-272) - CVE-2024-27165 　* 重要な機能に対する認証の欠如 (CWE-306) - CVE-2024-27169 　* OS コマンドインジェクション (CWE-78) - CVE-2024-27172 　* ファイル名やパス名の外部制御 (CWE-73) - CVE-2024-27175 　* Time-of-check Time-of-use (TOCTOU) 競合状態 (CWE-367) - CVE-2024-27180 　* 代替パスまたはチャネルの使用による認証回避 (CWE-288) - CVE-2024-3496 　* 相対パストラバーサル (CWE-23) - CVE-2024-3497 この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

翻訳 (表示)

この情報について

分析情報提供元:

JVN iPedia

初版公開日:

2024-06-17

分析対象脆弱性情報の分類:

アドバイザリ・注意喚起

最終更新日:

2024-06-17

脆弱性の影響を受ける製品の識別子

cpe:/a:misc:oki_electric_industry_multiple_product

cpe:/a:toshibatec:multiple_product

脆弱性の分析内容

[攻撃元区分] ^[?]

未評価^[?]

ローカル^[?]

隣接^[?]

ネットワーク^[?]

[攻撃条件の複雑さ] ^[?]

未評価^[?]

高^[?]

中^[?]

低^[?]

[攻撃前の認証要否] ^[?]

未評価^[?]

複数^[?]

単一^[?]

不要^[?]

[機密性への影響] ^[?]

未評価^[?]

影響なし^[?]

部分的^[?]

全面的^[?]

[完全性への影響] ^[?]

未評価^[?]

影響なし^[?]

部分的^[?]

全面的^[?]

[可用性への影響] ^[?]

未評価^[?]

影響なし^[?]

部分的^[?]

全面的^[?]