東芝テック株式会社の提供する複合機「e-Studio」のウェブ管理画面には、クロスサイトリクエストフォージェリの脆弱性が存在します。
【影響を受けるシステム】
東芝テック
- e-STUDIO 232
- e-STUDIO 233
- e-STUDIO 282
- e-STUDIO 283
【想定される影響】
当該製品の管理者が、ウェブ管理ツール (TopAccess) にログインした状態で細工されたページにアクセスした場合、パスワードを変更される可能性があります。結果として、遠隔の第三者にスキャンデータなどの文書資産を取得される可能性があります。
【対策方法】
開発者によると、本脆弱性に対するファームウェアアップデートは提供されないとのことです。
[ワークアラウンドを実施する]
次のワークアラウンドを実施することで、本脆弱性の影響を回避することが可能です。
* ウェブ管理ツール (TopAccess) にログインした状態で他のウェブサイトにアクセスしない
