1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. キヤノン製複合機・プリンターに深刻な脆弱性(CVE-2025-2146)CVSS 9.8の境界外書き込み、アップデート必須

キヤノン製複合機・プリンターに深刻な脆弱性(CVE-2025-2146)CVSS 9.8の境界外書き込み、アップデート必須

セキュリティニュース

投稿日時: 更新日時:

キヤノン製複合機・プリンターに深刻な脆弱性(CVE-2025-2146)CVSS 9.8の境界外書き込み、アップデート必須

2025年5月26日、JPCERT/CCは1月に公表したキヤノン製スモールオフィス向け複合機およびレーザービームプリンターにおける複数の境界外書き込みの脆弱性(JVNVU#93455283)について再度注意喚起と追加の脆弱性を発表しました。

この脆弱性は、CVSS基本値9.8(Critical)と評価されており、対象機器をインターネットに接続した状態で運用している場合、遠隔からのコード実行やサービス妨害(DoS)といった深刻なリスクを招くおそれがあります。

対象となる製品と脆弱性の内容

脆弱性が確認されたのは、キヤノンが提供する以下の機種カテゴリです:

  • スモールオフィス向け複合機(例:imageCLASS、imageRUNNERなど)

  • レーザービームプリンター(Sateraシリーズを含む)

脆弱性は以下のCVE識別番号で管理されています:

  • CVE-2024-12647

  • CVE-2024-12648

  • CVE-2024-12649

  • CVE-2025-2146(2025年5月26日追加)

これらはいずれもCWE-787:境界外書き込み(Out-of-bounds Write)に該当し、メモリ操作時に不正な領域にアクセスすることで、攻撃者による任意コード実行が可能になる深刻なバグです。

対策

最も推奨される対策は、キヤノンが提供する最新版ファームウェアへの更新です。対象機種やバージョン、アップデート手順は、キヤノン公式サイトにて公開されています。

即時のアップデートが難しい場合は、以下の運用上の制限をかけることで、リスクの軽減が可能です。

  • 機器をファイアウォールで保護されたネットワーク内でのみ使用する

  • グローバルIPではなく、プライベートIPアドレス範囲で運用する

  • インターネットからの直接アクセスを遮断する

関連記事

キヤノン製スモールオフィス向け複合機にリモート実行できる危険な脆弱性キヤノン製スモールオフィス向け複合機に危険な脆弱性 トロイの木馬化された「jQuery」がnpmやGitHubで拡散トロイの木馬化された「jQuery」がnpmやGitHubで拡散 ハッカーがIoT 接続のカメラの脆弱性を狙う CVE-2024-8956 (CVSS 9.1)、CVE-2024-8957 (CVSS 7.2)ハッカーがIoT 接続のカメラの脆弱性を狙う CVE-2024-8956 (CVSS 9.1)、CVE-2024-8957 (CVSS 7.2) Default Thumbnail東芝の複合機「e-STUDIO」の複数のシリーズで脆弱性 エプソン製プリンタードライバーにSYSTEM権限の任意コード実行の脆弱性、修正ツールの提供開始(CVE-2025-42598)エプソン製プリンタードライバーにSYSTEM権限の任意コード実行の脆弱性、修正ツールの提供開始(CVE-2025-42598) パロアルトネットワークスがCVE-2024-9463 (CVSS 9.9) を含む重大な脆弱性について勧告パロアルトネットワークスがCVE-2024-9463 (CVSS 9.9) を含む重大な脆弱性について勧告 SonicWall SMA100シリーズに重大な脆弱性、複合的なサイバー攻撃のリスクに警戒-JPCERTCCSonicWall SMA100シリーズに重大な脆弱性、複合的なサイバー攻撃のリスクに警戒-JPCERT/CC Windows MSHTMLの脆弱性が1年以上サイバー攻撃に悪用されていた(CVE-2024-38112)Windows MSHTMLの脆弱性が1年以上サイバー攻撃に悪用されていた(CVE-2024-38112) Default ThumbnailPHPの脆弱性でWindows サーバーでリモート コードを実行される可能性(CVE-2024-4577)