東芝テック製の複合機「e-Studio」にCSRFの脆弱性

拡大写真

独立行政法人 情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は4月18日、東芝テック株式会社が提供する複合機「e-Studio」シリーズにクロスサイトリクエストフォージェリ（CSRF）の脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で発表した。

「e-Studio 232/233/282/283」のWeb管理画面には、CSRFの脆弱性（CVE-2014-1990）が存在する。当該製品の管理者がWeb管理ツール（TopAccess）にログインした状態で細工されたページにアクセスした場合、パスワードを変更される可能性があり、結果としてリモートの攻撃者にスキャンデータなどの文書資産を取得される可能性がある。開発者によると、本脆弱性に対するファームウェアアップデートは提供されない。このためJVNでは、Web管理ツール（TopAccess）にログインした状態で他のWebサイトにアクセスしないよう呼びかけている。

東芝テック製の複合機「e-Studio」にCSRFの脆弱性（JVN）

《吉澤亨史@ScanNetSecurity》

• Androidアプリ「AndExplorer」にディレクトリトラバーサルの脆弱性（JVN）
• 「サイボウズ リモートサービスマネージャー」に複数の脆弱性（JVN）
• 「Redmine」にオープンリダイレクトの脆弱性（JVN）