-
タグ
タグ
- アーキテクト
- アジャイル開発
- アプリ開発
- インシデントレスポンス
- イベントレポート
- カスタマーストーリー
- カルチャー
- 官民学・業界連携
- 企業市民活動
- クラウド
- クラウドインテグレーション
- クラブ活動
- コーポレート
- 広報・マーケティング
- 攻撃者グループ
- 子育て、生活
- サイバー救急センター
- サイバー救急センターレポート
- サイバー攻撃
- サイバー犯罪
- サイバー・グリッド・ジャパン
- サプライチェーンリスク
- システム開発
- 趣味
- 障がい者採用
- 初心者向け
- 白浜シンポジウム
- 情シス向け
- 情報モラル
- 情報漏えい対策
- 人材開発・教育
- 診断30周年
- スレットインテリジェンス
- すごうで
- セキュリティ
- セキュリティ診断
- セキュリティ診断レポート
- 脆弱性
- 脆弱性管理
- ゼロトラスト
- 対談
- テレワーク
- データベース
- デジタルアイデンティティ
- 働き方改革
- 標的型攻撃
- プラス・セキュリティ人材
- モバイルアプリ
- ライター紹介
- ラックセキュリティアカデミー
- ランサムウェア
- リモートデスクトップ
- 1on1
- AI
- ASM
- CIS Controls
- CODE BLUE
- CTF
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- DevSecOps
- DX
- EC
- EDR
- FalconNest
- IoT
- IR
- JSOC
- JSOC INSIGHT
- LAC Security Insight
- OWASP
- SASE
- Tech Crawling
- XDR
LAC Advisory No.140
デジタルペンテスト部の飯田です。
株式会社サトーが提供するラベルプリンタ「スキャントロニクスCL4/6NX-J Plusシリーズ」、「スキャントロニクスCL4/6NX Plusシリーズ」に複数の脆弱性を発見しました。特にCVE-2025-22470については、Web管理画面(WebConfig)にアクセス可能な悪意ある攻撃者によって、root権限で任意のLuaスクリプトを実行される恐れがあり注意が必要です。
インターネット上から当該Web管理画面にアクセスできる状態になっていると、悪意ある攻撃者に脆弱性を悪用される可能性が高まります。まずは公開状態になっていないか確認し、製品開発者が提供している対策方法を実施してください。
影響を受けるシステム
- スキャントロニクスCL4/6NX-J Plusシリーズ ファームウェア1.15.5-r1より前のバージョン
- スキャントロニクスCL4/6NX Plusシリーズ(海外向けモデル)ファームウェア1.15.5-r1より前のバージョン
解説
当該製品はバーコード、管理ラベル等を印刷するためのラベルプリンタであり、製造や物流現場などをはじめとする様々な場所で設置・利用されています。CVE-2025-22469は当該製品のWeb管理画面に対して細工されたリクエストを送ることで、認証なしに非特権ユーザーの権限で任意のOSコマンドを実行することが可能な脆弱性です。CVSS v3における深刻度評価は「重要」、CVSS v4では「警告」となっています。
また、CVE-2025-22470は当該製品のWeb管理画面に対して細工されたリクエストを送ることで、認証なしにroot権限で任意のLuaスクリプトを実行することが可能な脆弱性です。こちらはCVSS v3 / v4 共に深刻度評価は「緊急」となっており、Luaスクリプトを介してOSコマンドを実行するなどの操作も可能であることから、悪用された場合に大きな影響が発生する可能性があります。
対策方法
製品開発者が提供する情報※をもとに、ファームウェアを最新バージョンにアップデートしてください。ファームウェア適用が困難である場合には、製品開発者が提示している回避方法に従ってWeb管理画面を無効化してください。
※ 当社製ラベルプリンタ商品の脆弱性対応に関する追加のお知らせ|株式会社サトー
発見者
飯田 雅裕(株式会社ラック デジタルペンテスト部)
公表までの経緯
本脆弱性は、情報セキュリティ早期警戒パートナーシップに基づき、ラックからIPAに報告し、JPCERT/CCによって開発者との調整が行われました。
JVN#16547726
JVNDB-2025-000056
CVE番号
CVE-2025-22469(https://www.cve.org/CVERecord?id=CVE-2025-22469)
CVE-2025-22470(https://www.cve.org/CVERecord?id=CVE-2025-22470)
この記事をシェアする
関連記事
タグ
- アーキテクト
- アジャイル開発
- アプリ開発
- インシデントレスポンス
- イベントレポート
- カスタマーストーリー
- カルチャー
- 官民学・業界連携
- 企業市民活動
- クラウド
- クラウドインテグレーション
- クラブ活動
- コーポレート
- 広報・マーケティング
- 攻撃者グループ
- もっと見る +
- 子育て、生活
- サイバー救急センター
- サイバー救急センターレポート
- サイバー攻撃
- サイバー犯罪
- サイバー・グリッド・ジャパン
- サプライチェーンリスク
- システム開発
- 趣味
- 障がい者採用
- 初心者向け
- 白浜シンポジウム
- 情シス向け
- 情報モラル
- 情報漏えい対策
- 人材開発・教育
- 診断30周年
- スレットインテリジェンス
- すごうで
- セキュリティ
- セキュリティ診断
- セキュリティ診断レポート
- 脆弱性
- 脆弱性管理
- ゼロトラスト
- 対談
- テレワーク
- データベース
- デジタルアイデンティティ
- 働き方改革
- 標的型攻撃
- プラス・セキュリティ人材
- モバイルアプリ
- ライター紹介
- ラックセキュリティアカデミー
- ランサムウェア
- リモートデスクトップ
- 1on1
- AI
- ASM
- CIS Controls
- CODE BLUE
- CTF
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- DevSecOps
- DX
- EC
- EDR
- FalconNest
- IoT
- IR
- JSOC
- JSOC INSIGHT
- LAC Security Insight
- OWASP
- SASE
- Tech Crawling
- XDR