コニカミノルタ製複合機の Web Connection における脆弱性の影響について
2025年6月30日
コニカミノルタ株式会社
コニカミノルタジャパン株式会社
お客様各位
平素はコニカミノルタ製品をご愛用いただき、誠にありがとうございます。
対象の製品にセキュリティー脆弱性が存在することが判明しました。問題の概要、ならびに対応方法についてご説明いたします。なお、本件脆弱性を悪用したセキュリティー被害は、グローバル全体で確認されておりません。
脆弱性概要
| 参照識別番号 | CVSSv3.1基本評価 | スコア | 脆弱性内容 |
|---|---|---|---|
| CVE-2025-5884 | CVSS:3.1 / AV:N / AC:L / PR:L / UI:R / S:U / C:N / I:L / A:N | 3.5 | Web Connectionの一部の入力フィールドにクロスサイトスクリプティング(CWE94, CWE-79)の脆弱性が存在します。 |
| CVE-2025-5885 | CVSS:3.1 / AV:N / AC:L / PR:N / UI:R / S:U / C:N / I:L / A:N | 4.3 | Web Connectionにクロスサイトリクエストフォージェリ(CWE-352, CWE-862)の脆弱性が存在します。 |
対象機種と対策予定
| 製品名 | 対象バージョン | 対策予定 |
|---|---|---|
| bizhub C759/C659 bizhub C658/C558/C458 bizhub C368/C308/C258 bizhub C287/C227 bizhub C3851/C3351 bizhub 758/658e/558e/458e bizhub 287/227 bizhub 368e/308e bizhub 558/458/368/308 bizhub 4052 |
すべてのバージョン | 2025年7月提供予定 ※状況により変更となる可能性がございます。 |
解決策
Web Connectionを使用しない設定※へ変更するか、対策ファームウェアのリリースをお待ちください。
- ※
- 設定方法は下記サイトからユーザーズガイドをご参照ください。
回避策
今回の脆弱性も含め、一般的なセキュリティーリスクを低減するため、各種セキュリティー設定のもとでご利用いただきますよう、お願いいたします。
- 管理者パスワードが初期設定のままになっている場合は、推測されにくいパスワードへ変更する。
- 複合機に設定するIPアドレスは、プライベートIPアドレスを設定し、ファイアーウォールなどで保護されたネットワークの中で利用する。
- IPアドレスフィルタリング機能で複合機にアクセス可能なネットワークの範囲を制限する。
- ユーザー認証機能で複合機の利用者を制限し、パブリックユーザーを許可しない。
- ※
- 詳細は以下の「セキュリティー設定方法について」をご参照ください。
https://www.konicaminolta.jp/business/support/important/131105_03.html
弊社製品・サービスのセキュリティー強化への取り組み
コニカミノルタは製品・サービスのセキュリティー対応を重要な責務と捉え、インシデントや脆弱性への対応に、今後も積極的に取り組んでまいります。
https://www.konicaminolta.jp/about/csr/social/customers/enhanced_security.html
謝辞
本脆弱性を発見していただいた、VulDB CNA Teamに心より感謝申し上げます。
本件に関するお問い合わせ先
お問い合わせにつきましては、当該機器の保守サービス実施店へご用命願います。