CRITICAL🇬🇧 English

CVE-2024-47406

Pominięcie uwierzytelnienia w urządzeniach MFP Sharp i Toshiba Tec

CVSS 9.1v3.1pub. 2024-10-25upd. 2024-11-05

Urządzenia wielofunkcyjne (MFP) firm Sharp i Toshiba Tec nieprawidłowo przetwarzają żądania uwierzytelnienia HTTP, co prowadzi do podatności typu authentication bypass. Błąd jest krytyczny, ponieważ nie wymaga żadnych uprawnień ani interakcji użytkownika i jest dostępny zdalnie przez sieć.

Pokaż oryginał (EN)

Sharp and Toshiba Tec MFPs improperly process HTTP authentication requests, resulting in an authentication bypass vulnerability.

🤖 Analiza AI
Jak działa

Oprogramowanie sprzętowe (firmware) podatnych urządzeń MFP zawiera błąd w mechanizmie obsługi uwierzytelnienia HTTP (CWE-288, CWE-306 — brak lub niewłaściwa weryfikacja tożsamości). Atakujący może wysłać specjalnie spreparowane żądanie HTTP, które zostanie potraktowane przez urządzenie jako uwierzytelnione, pomijając w ten sposób wymaganą procedurę logowania. Atak można przeprowadzić zdalnie, bez posiadania jakichkolwiek danych uwierzytelniających.

Skutki

Atakujący uzyskuje nieautoryzowany dostęp do zasobów i funkcji urządzenia MFP, co może skutkować ujawnieniem poufnych danych (np. zeskanowanych dokumentów, danych konfiguracyjnych) oraz zakłóceniem dostępności urządzenia.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://www.toshibatec.com/information/20241025_01.html oraz https://global.sharp/products/copier/info/info_security_2024-10.html). Dodatkowo, do czasu wdrożenia aktualizacji, zaleca się ograniczenie dostępu sieciowego do paneli administracyjnych urządzeń MFP za pomocą firewall lub segmentacji sieci.

Kogo dotyczy

Toshibatec E-Studio908, E-Studio1058 oraz E-Studio1208 (wraz z odpowiednim firmware). Pełna lista dotkniętych modeli i wersji firmware dostępna jest w referencjach producenta.

Uwagi

Podatność została opublikowana przez JVNVU95063136 (japońskie centrum koordynacji podatności JVN). Dotyczy zarówno urządzeń marki Sharp, jak i Toshiba Tec.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
  • Sharp Bp 30c25

    HW
    Sharp
    wszystkie wersje
  • Sharp Bp 30c25 Firmware

    OS
    Sharp
    wszystkie wersje
  • Sharp Bp 30c25t

    HW
    Sharp
    wszystkie wersje
  • Sharp Bp 30c25t Firmware

    OS
    Sharp
    wszystkie wersje
  • Sharp Bp 30c25y

    HW
    Sharp
    wszystkie wersje
  • Sharp Bp 30c25y Firmware

    OS
    Sharp
    wszystkie wersje
  • Sharp Bp 30c25z

    HW
    Sharp
    wszystkie wersje
  • Sharp Bp 30c25z Firmware

    OS
    Sharp
    wszystkie wersje
  • Sharp Bp 50c26

    HW
    Sharp
    wszystkie wersje
  • Sharp Bp 50c26 Firmware

    OS
    Sharp
    wszystkie wersje
  • Sharp Bp 50c31

    HW
    Sharp
    wszystkie wersje
  • Sharp Bp 50c31 Firmware

    OS
    Sharp
    wszystkie wersje
  • Sharp Bp 50c36

    HW
    Sharp
    wszystkie wersje
  • Sharp Bp 50c36 Firmware

    OS
    Sharp
    wszystkie wersje
  • Sharp Bp 50c45

    HW
    Sharp
    wszystkie wersje
  • Sharp Bp 50c45 Firmware

    OS
    Sharp
    wszystkie wersje
  • Sharp Bp 50c55

    HW
    Sharp
    wszystkie wersje
  • Sharp Bp 50c55 Firmware

    OS
    Sharp
    wszystkie wersje
  • Sharp Bp 50c65

    HW
    Sharp
    wszystkie wersje
  • Sharp Bp 50c65 Firmware

    OS
    Sharp
    wszystkie wersje
  • Sharp Bp 55c26

    HW
    Sharp
    wszystkie wersje
  • Sharp Bp 55c26 Firmware

    OS
    Sharp
    wszystkie wersje
  • Sharp Bp 60c31

    HW
    Sharp
    wszystkie wersje
  • Sharp Bp 60c31 Firmware

    OS
    Sharp
    wszystkie wersje
  • Sharp Bp 60c36

    HW
    Sharp
    wszystkie wersje
  • Sharp Bp 60c36 Firmware

    OS
    Sharp
    wszystkie wersje
  • Sharp Bp 60c45

    HW
    Sharp
    wszystkie wersje
  • Sharp Bp 60c45 Firmware

    OS
    Sharp
    wszystkie wersje
  • Sharp Bp 70c31

    HW
    Sharp
    wszystkie wersje
  • Sharp Bp 70c31 Firmware

    OS
    Sharp
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2022-45796CRITICAL9.1ten sam produkt

Command injection vulnerability in nw_interface.html in SHARP multifunction printers (MFPs)'s Digital Full-col...

CVE-2024-47549HIGH7.4ten sam produkt

Sharp and Toshiba Tec MFPs improperly process query parameters in HTTP requests, which may allow contamination...

CVE-2024-47801HIGH7.4ten sam produkt

Sharp and Toshiba Tec MFPs improperly process query parameters in HTTP requests, resulting in a reflected cros...

CVE-2024-42420HIGH7.5ten sam produkt

Sharp and Toshiba Tec MFPs contain multiple Out-of-bounds Read vulnerabilities, due to improper processing of ...

CVE-2024-43424HIGH7.5ten sam produkt

Sharp and Toshiba Tec MFPs improperly process HTTP request headers, resulting in an Out-of-bounds Read vulnera...