| 概要 | Insecure initial password configuration issue in SEIKO EPSON Web Config allows a remote unauthenticated attacker to set an arbitrary password and operate the device with an administrative privilege. As for the details of the affected versions, see the information provided by the vendor under [References]. |
|---|---|
| 公表日 | 2024年10月1日13:15 |
| 登録日 | 2024年10月1日16:00 |
| 最終更新日 | 2024年11月11日17:15 |
| タイトル | 複数のセイコーエプソン製品の Web Config における初期パスワードに関する脆弱性 |
|---|---|
| 概要 | セイコーエプソンが提供する複数の製品に導入されている Web Config は、Web ブラウザー上で製品本体の状態を確認したり設定を変更したりするためのソフトウェアです。初期状態では管理者パスワードが設定されておらず、使用者が当該機器をネットワークに接続しWeb Config の設定作業を最初にする際に、パスワードの設定を要求してきます。 そのため、当該製品をネットワークに接続してWeb Config の設定を一度も行っていない場合、想定していない第三者によって任意のパスワードを設定され管理者権限で操作される可能性があります(CWE-1188)。 この脆弱性情報は、下記の方が CERT/CC に報告し、CERT/CC からの要請を受け JPCERT/CC が開発者との調整を行いました。 報告者: George Puckett 氏 |
| 想定される影響 | 当該製品をネットワークに接続し Web Config の設定を一度も行っていない場合、当該製品にアクセスできる攻撃者によって任意のパスワードを設定され、管理者権限で操作される可能性があります。 |
| 対策 | [ワークアラウンドを実施する] 当該製品に管理者パスワードを設定してください。 開発者が発行する<a href="https://www.epson.jp/support/misc/cautions_for_connection.htm"target="blank">セキュリティガイドブック</a>第 3 章では、製品の設置時に管理者パスワードを設定することを強く推奨しています。 |
| 公表日 | 2024年9月30日0:00 |
| 登録日 | 2024年10月1日12:16 |
| 最終更新日 | 2024年10月1日12:16 |
| セイコーエプソン株式会社 |
| Web Config |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2024年10月01日] 掲載 | 2024年10月1日11:47 |