| Title | PaperCut Software International PtyのPaperCut MF等の複数製品における複数の脆弱性 |
|---|---|
| Summary | PaperCut MF(バージョン25.0.4)の共有アカウント同期コンポーネントに脆弱性が発見されました。本アプリケーションは管理者ユーザーがアカウントデータの同期のためのソースパスを設定できる機能を備えています。適切なパスの検証およびサニタイズが行われていないため、管理者権限を持つ認証済みユーザーがローカルファイルシステム上の任意のファイルパスを指定できます。これにより、ディレクトリ構造を列挙したり、機密性の高いテキストベースの設定ファイルやシステムファイルを不正に閲覧したりすることが可能になります。同期プロセスが開始されると、アプリケーションは指定されたファイルの内容を解析して、そのデータをアプリケーションのアカウント管理インターフェースに表示します。この脆弱性は、アプリケーションが動作しているサービスアカウントの権限に応じて、機密のシステム情報や設定内容が漏洩する可能性があります。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 5, 2026, midnight |
| Registration Date | May 14, 2026, 10:15 a.m. |
| Last Update | May 14, 2026, 10:15 a.m. |
| CVSS3.0 : 警告 | |
| Score | 4.9 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
| PaperCut Software International Pty |
| PaperCut MF 25.0.11 未満 |
| PaperCut NG 25.0.11 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年05月14日] 掲載 |
May 14, 2026, 10:15 a.m. |
| Summary | An issue was discovered in the Shared Account Synchronization component of PaperCut MF (version 25.0.4). The application allows administrative users to configure a source path for account data synchronization. Due to a lack of proper path validation and sanitization, an authenticated user with administrative privileges can specify arbitrary file paths on the local file system. This allows for the enumeration of directory structures and the unauthorized reading of sensitive text-based configuration or system files. When the synchronization process is triggered, the application attempts to parse the contents of the specified file, subsequently exposing the data within the application's account management interface. This vulnerability could lead to the disclosure of sensitive system information or configuration details, depending on the permissions of the service account under which the application is running. |
|---|---|
| Publication Date | May 5, 2026, 4:16 p.m. |
| Registration Date | May 6, 2026, 4:07 a.m. |
| Last Update | May 13, 2026, 12:53 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:papercut:papercut_mf:*:*:*:*:*:*:*:* | 25.0.11 | ||||
| cpe:2.3:a:papercut:papercut_ng:*:*:*:*:*:*:*:* | 25.0.11 | ||||