1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. ブラザー製プリンターに重大な脆弱性、合計5社の748モデルに影響(CVE-2024-51978)

ブラザー製プリンターに重大な脆弱性、合計5社の748モデルに影響(CVE-2024-51978)

セキュリティニュース

投稿日時: 更新日時:

Brother製プリンターに重大な脆弱性、合計5社の748モデルに影響(CVE-2024-51978)

2025年6月25日 セキュリティ企業Rapid7は、Brother(ブラザー)製プリンターやスキャナー、ラベルプリンターにおける複数の脆弱性を公表しました。調査の結果、Brother製689モデルを含む、合計748モデル(FUJIFILM、リコー、東芝テック、コニカミノルタを含む5社)が影響を受けることが判明しています。

最も深刻な脆弱性「CVE-2024-51978」

この中で最も重大とされるのは、認証バイパス脆弱性「CVE-2024-51978」です。リモートの未認証攻撃者が、対象デバイスのシリアル番号を漏えいさせることで、初期設定されている管理者パスワードを生成できてしまうというものです。

これは製造工程における仕様に起因するもので、Brother社は「ファームウェアによる完全な修正は不可能」とし、製造プロセス自体の見直しを行うことで対応しています。

なお、シリアル番号は別の脆弱性「CVE-2024-51977」を悪用することでHTTP/HTTPS/IPP経由から漏えいさせることが可能で、他にもSNMPやPJLクエリから取得できる可能性があります。

他の脆弱性とその影響

以下の7件の脆弱性も併せて報告されています

脆弱性ID 概要 CVSSスコア
CVE-2024-51977 シリアル番号などの情報漏えい 5.3
CVE-2024-51979 認証後のスタックバッファオーバーフロー 7.2
CVE-2024-51980 未認証で任意TCP接続を確立 5.3
CVE-2024-51981 未認証で任意HTTPリクエストを送信 5.3
CVE-2024-51982 PJL経由でクラッシュ(DoS) 7.5
CVE-2024-51983 HTTP経由でクラッシュ(DoS) 7.5
CVE-2024-51984 外部サービス(LDAP/FTP)のパスワード漏えい 6.8

関連記事

コニカミノルタ製複合機 bizhub 4020i 4000i における複数の脆弱性コニカミノルタ製複合機 bizhub 4020i / 4000i における複数の脆弱性 トロイの木馬化された「jQuery」がnpmやGitHubで拡散トロイの木馬化された「jQuery」がnpmやGitHubで拡散 Default Thumbnail東芝の複合機「e-STUDIO」の複数のシリーズで脆弱性 三菱電機「MELSEC iQ-F」シリーズに深刻な脆弱性、情報漏えいやDoS攻撃の恐れ(CVE-2025-3755)三菱電機「MELSEC iQ-F」シリーズに深刻な脆弱性、情報漏えいやDoS攻撃の恐れ(CVE-2025-3755) 2024年のゼロデイ攻撃は一般消費者向けソフトウェアからエンタープライズ ベンダーへ移行-Google調査2024年のゼロデイ攻撃は一般消費者向けソフトウェアからエンタープライズ ベンダーへ移行-Google調査 Windows MSHTMLの脆弱性が1年以上サイバー攻撃に悪用されていた(CVE-2024-38112)Windows MSHTMLの脆弱性が1年以上サイバー攻撃に悪用されていた(CVE-2024-38112) Androidの重大な脆弱性が標的型攻撃などへ悪用の可能性(CVE-2024-43093,CVE-2024-50302)Androidの重大な脆弱性が標的型攻撃などへ悪用の可能性(CVE-2024-43093,CVE-2024-50302) シャープ製ルーターで複数の脆弱性(CVE-2024-45721、CVE-2024-46873、CVE-2024-47864、CVE-2024-52321、CVE-2024-46873、CVE-2024-52321、CVE-2024-54082)シャープ製ルーターで複数の脆弱性(CVE-2024-45721、CVE-2024-46873、CVE-2024-47864、CVE-2024-52321、CVE-2024-46873、CVE-2024-52321、CVE-2024-54082) Default ThumbnailSAP Financial Consolidationの緊急度の高い脆弱性を修正(CVE-2024-37177、CVE-2024-34688)