Xerox製印刷ワークフロー管理ソフトに複数の脆弱性

Xeroxの印刷事業者向けワークフロー管理ソフトウェア「Xerox FreeFlow」に複数の脆弱性が明らかとなった。

「Xerox FreeFlow デジタル・ワークフロー・コレクション」に含まれる「Xerox FreeFlow Core」に5件の脆弱性が明らかとなったもの。脆弱性を悪用された場合、任意のコードが実行されるおそれがある。

具体的には、重要機能において認証が欠如している脆弱性「CVE-2024-47555」やパストラバーサルの脆弱性「CVE-2024-47556」「CVE-2024-47557」「CVE-2024-47558」「CVE-2024-47559」が判明した。

Xeroxでは、共通脆弱性評価システム「CVSSv3.1」において、「CVE-2024-47555」「CVE-2024-47556」「CVE-2024-47557」のベーススコアを「8.3」、のこる2件については「7.6」と評価。いずれも重要度を「高（High）」とした。

一方、米国立標準技術研究所（NIST）による脆弱性データベース「NVD」では「CVE-2024-47556」「CVE-2024-47557」については、CVSS基本値を「9.8」とし、重要度を4段階中もっとも高い「クリティカル（Critical）」とレーティングした。

（Security NEXT - 2025/01/09 ） ツイート

PR

関連記事

「VMware Tools」「Aria Operations」既知脆弱性、悪用事例の報告
ランサム攻撃者が犯行声明、事実関係を確認中 - アスクル
ペット保険システムから契約者情報など流出した可能性 - アクサ損保
米当局、「XWiki Platform」「Aria Operations」脆弱性を悪用リストに追加
組織の「ネット玄関口」狙う攻撃に注意 - 可視化や脆弱性対策の徹底を
ファイル転送ソフト「MOVEit Transfer」にDoS脆弱性 - 修正版公開
「Adobe Commerce/Magento」や「WSUS」の脆弱性悪用に注意喚起 - 米当局
インシデントが2割強の増加 - 「EC-CUBE」改ざん被害も複数報告
韓国関連グループの標的型攻撃が継続 - GitHub悪用でマルウェア展開
米当局、「WSUS」脆弱性で対象サーバの特定や侵害監視を呼びかけ