优德w88官网登录入口 通知

关于我们多功能设备中的安全漏洞

2024 年 10 月 25 日
2024 年 10 月 31 日更新

非常感谢您使用w88优德体育官方网站的数字多功能设备。

我们最近发现我们公司生产的一些数字多功能设备存在多个安全漏洞。请参阅下表,了解该漏洞和受影响的产品的概述。

对于给使用此产品的客户带来的任何不便,我们深表歉意。

漏洞标识号 JVNVU#95063136 / 有关 CVE ID,请参阅下面的“详细信息”。
适用的产品名称及版本 请参阅下表。
详情
  • CVE-2024-42420:多功能设备内的网络服务器上可能会发生越界内存引用,从而导致挂起
  • CVE-2024-43424:多功能设备内的网络服务器上可能会发生越界内存引用,这可能会导致挂起
  • CVE-2024-45829:多功能设备内的网络服务器上可能会发生越界内存引用,从而导致挂起
  • CVE-2024-45842:存在一个可以在多功能设备内部的网络服务器上执行路径遍历的页面
  • CVE-2024-47005:多功能设备内的网络服务器上存在一个具有不适当访问权限的 API
  • CVE-2024-47406:存在可以绕过多功能设备内部网络服务器上的身份验证功能的路径
  • CVE-2024-47549:有一个页面可以在多功能设备内部的网络服务器上执行 HTTP 标头注入
  • CVE-2024-47801:有一个页面可以在多功能设备内部的网络服务器上执行跨站脚本
  • CVE-2024-48870:有一个页面可以在多功能设备内部的网络服务器上执行跨站脚本
攻击条件 为了利用此漏洞进行攻击成功
  • ● 攻击者必须能够通过网络连接到目标多功能设备
  • ● 攻击者知道通过正常用户操作无法获知的信息
是条件。在上述以外的情况下(例如当网络连接受到适当保护时),该漏洞不会影响来自网络的攻击。
可能的影响
  • ① 恶意攻击者可能能够通过篡改对 MFP 网页的 HTTP 请求来导致 MFP 挂起。
  • ② 恶意攻击者可能能够以意想不到的权限访问多功能设备的某些功能。
  • ③ 恶意攻击者可能能够绕过多功能设备的身份验证机制来访问其网页。
  • ④ 存在恶意攻击者可能在多功能设备的网页上嵌入可能导致信息泄露的脚本的风险。
  • (注意)某些型号可能不符合条件。欲了解更多信息,请参阅“受影响的型号和支持状态”。
解决方法 为了减少您的环境中针对多功能设备的攻击(包括利用此漏洞)的可能性,请立即采取以下措施。
  • ● 请勿将多功能设备直接连接到互联网,而应在受防火墙或路由器保护的网络内使用。
  • ● 使用密码限制对多功能设备网页的访问(出厂默认设置启用此设置)
  • ● 更改多功能设备的管理员密码的出厂默认值并进行适当的管理。
  • ● 定期查看审核日志以查找可疑访问的证据。
通过采取上述措施,您可以降低因第三方恶意攻击目标多功能设备、导致其无法启动或泄露设备内部信息而造成损害的风险。

参考:w88优德体育官方网站数字多功能设备测量说明,防止来自互联网的未经授权访问
https://jpsharp/business/print/solution/security/state1html#setupGuide
如何处理 请参阅下面的“受影响的型号和支持状态”。
需要用于表 1 所列对策的固件的客户,请联系您购买产品的商店或我们的客户服务中心。
对于表 2 中的型号,所有固件版本都会受到影响,但固件支持已终止。请实施上述解决方法,或考虑停止使用该产品或迁移到后续型号。

客户咨询:
Sharp Marketing Japan Co, Ltd 商业解决方案公司、冲绳w88优德体育官方网站电气有限公司
https://jpsharp/business/print/contact/index-supporthtml
信息 JVNVU#95063136:
Sharp 和 Toshiba Tec 多功能设备 (MFP) 中存在多个漏洞
CVE:

■受影响的型号和支持状态

表1:可为下表所列型号提供对策固件。

类型 型号名称 受影响的固件版本(注)
*请检查固件版本的前 2 至 4 位数字。
数字全彩多功能设备

BP-70C65/BP-70C55/BP-70C45/BP-70C26/
BP-60C36/BP-60C31/BP-60C26/
BP-50C65/BP-50C55/BP-50C45/
BP-40C36/BP-40C26

 “320”之前
MX-8081 “160”之前

MX-6171/MX-5171/MX-4171/
MX-3661/MX-3161/MX-2661/
MX-6151/MX-5151/MX-4151/
MX-3631/MX-2631

 “613”之前
BP-30C25 “130”之前

MX-6170FN/MX-5170FN/MX-4170FN/
MX-6170FV/MX-5170FV/MX-4170FV

 “802”之前

MX-6150FN/MX-5150FN/MX-4150FN/
MX-3650FN/MX-3150FN/MX-2650FN/
MX-6150FV/MX-5150FV/MX-4150FV/
MX-3650FV/MX-3150FV/MX-2650FV/
MX-3630FN/MX-2630FN

 “802”之前
BP-C533WD/BP-C533WR “262”之前
MX-C306W/MX-C305W “520”之前
数字多功能设备(单色) BP-70M90/BP-70M75
 “310”之前
BP-70M65/BP-70M55/BP-70M45
 “320”之前
MX-M1206/MX-M1056 “200”之前
(安装数据安全套件 MX-FR66U 时:“210”或更早版本)
MX-M7570/MX-M6570 “456”之前
MX-M6071/MX-M5071/MX-M4071/
MX-M3531
 “413”之前
BP-30M35/BP-30M31/BP-30M28/
BP-30M31L		 “220”之前
MX-M6070/MX-M5070/MX-M4070 “503”之前
MX-B455W “404”之前
(安装数据安全套件 MX-FR59U 时:“405”或更早版本)

(注)如何查看固件版本如下。您需要以管理员身份登录。

  • ● 如果使用多功能设备的控制面板,请按主屏幕上的“设置”图标。
    如果您想通过网络将计算机连接到多功能设备,请使用网络浏览器访问多功能设备的设备网页。
  • ● 按[状态]选项卡。
    按[固件版本]。
  • ●“BUNDLE”后显示的16位字母数字字符(两个8位字母数字字符以下划线“_”连接)为固件版本。 (例如:0510Z200_22040400)

表2:对于以下型号,“可能的影响”②和③不适用。对固件的支持已结束,因此请实施上述解决方法,或考虑停止使用该产品或迁移到后续型号。

类型 型号名称
数字全彩多功能设备

MX-6540FN

MX-5141FN/MX-5140FN/MX-4141FN/MX-4140FN

MX-3640FN/MX-3140FN/MX-2640FN

MX-5111FN/MX-5110FN/MX-4111FN/MX-4110FN

MX-3610FN/MX-3110FN/MX-2610FN

MX-C302W

MX-3611F/MX-3111F/MX-2312F/MX-2310F

MX-C381FX/MX-C381/MX-C312/MX-C310FX/MX-C310/
MX-C380P/DX-C310P/MX-C312SC

MX-5001FN/MX-5000FN/MX-4101FN/MX-4100FN/MX-3600FN

MX-3100FN/MX-3100FG/MX-2600FN/MX-2600FG

MX-3117FN/MX-2517FN

MX-3614FN/MX-3114FN/MX-2514FN

MX-3112FN/MX-2311FN

MX-2301FN

MX-2020F
数字多功能设备(单色) MX-M1204/MX-M1054/MX-M904
MX-M754FN/MX-M654FN
MX-M565FN/MX-M465FN/MX-M365FN
MX-M564FN/MX-M464FN
MX-M356FP/MX-M316FP/MX-M266FP/MX-M316G/
MX-M356FV/MX-M316FV/MX-M266FV/MX-M316GV
MX-M354FP/MX-M314FP/MX-M264FP
MX-B382/MX-B382P/MX-B382SC
MX-M753/MX-M623
MX-M503N/MX-M363N/MX-M283N/
MX-M503F/MX-M423F/MX-M363F
返回页面顶部