CVE-2024-47295
| Summary |
Insecure initial password configuration issue in SEIKO EPSON Web Config allows a remote unauthenticated attacker to set an arbitrary password and operate the device with an administrative privilege. As for the details of the affected versions, see the information provided by the vendor under [References].
|
| Publication Date |
Oct. 1, 2024, 1:15 p.m. |
| Registration Date |
Oct. 1, 2024, 4 p.m. |
| Last Update |
Nov. 11, 2024, 5:15 p.m. |
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
複数のセイコーエプソン製品の Web Config における初期パスワードに関する脆弱性
| Title |
複数のセイコーエプソン製品の Web Config における初期パスワードに関する脆弱性
|
| Summary |
セイコーエプソンが提供する複数の製品に導入されている Web Config は、Web ブラウザー上で製品本体の状態を確認したり設定を変更したりするためのソフトウェアです。初期状態では管理者パスワードが設定されておらず、使用者が当該機器をネットワークに接続しWeb Config の設定作業を最初にする際に、パスワードの設定を要求してきます。 そのため、当該製品をネットワークに接続してWeb Config の設定を一度も行っていない場合、想定していない第三者によって任意のパスワードを設定され管理者権限で操作される可能性があります(CWE-1188)。 この脆弱性情報は、下記の方が CERT/CC に報告し、CERT/CC からの要請を受け JPCERT/CC が開発者との調整を行いました。 報告者: George Puckett 氏
|
| Possible impacts |
当該製品をネットワークに接続し Web Config の設定を一度も行っていない場合、当該製品にアクセスできる攻撃者によって任意のパスワードを設定され、管理者権限で操作される可能性があります。 |
| Solution |
[ワークアラウンドを実施する] 当該製品に管理者パスワードを設定してください。 開発者が発行する<a href="https://www.epson.jp/support/misc/cautions_for_connection.htm"target="blank">セキュリティガイドブック</a>第 3 章では、製品の設置時に管理者パスワードを設定することを強く推奨しています。 |
| Publication Date |
Sept. 30, 2024, midnight |
| Registration Date |
Oct. 1, 2024, 12:16 p.m. |
| Last Update |
Oct. 1, 2024, 12:16 p.m. |
Affected System
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2024年10月01日] 掲載 |
Oct. 1, 2024, 11:47 a.m. |