LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

Facebook X Instagram
注意喚起 | 

サトー製ラベルプリンタCL4/6NX-J PlusおよびCL4/6NX Plusシリーズにおける複数の脆弱性

LAC Advisory No.140

デジタルペンテスト部の飯田です。

株式会社サトーが提供するラベルプリンタ「スキャントロニクスCL4/6NX-J Plusシリーズ」、「スキャントロニクスCL4/6NX Plusシリーズ」に複数の脆弱性を発見しました。特にCVE-2025-22470については、Web管理画面(WebConfig)にアクセス可能な悪意ある攻撃者によって、root権限で任意のLuaスクリプトを実行される恐れがあり注意が必要です。

インターネット上から当該Web管理画面にアクセスできる状態になっていると、悪意ある攻撃者に脆弱性を悪用される可能性が高まります。まずは公開状態になっていないか確認し、製品開発者が提供している対策方法を実施してください。

メール

サイバーセキュリティやラックに関する様々な情報をお届けします。

注意喚起情報をタイムリーに受け取れるメールマガジンの登録はこちら

影響を受けるシステム

  • スキャントロニクスCL4/6NX-J Plusシリーズ ファームウェア1.15.5-r1より前のバージョン
  • スキャントロニクスCL4/6NX Plusシリーズ(海外向けモデル)ファームウェア1.15.5-r1より前のバージョン

解説

当該製品はバーコード、管理ラベル等を印刷するためのラベルプリンタであり、製造や物流現場などをはじめとする様々な場所で設置・利用されています。CVE-2025-22469は当該製品のWeb管理画面に対して細工されたリクエストを送ることで、認証なしに非特権ユーザーの権限で任意のOSコマンドを実行することが可能な脆弱性です。CVSS v3における深刻度評価は「重要」、CVSS v4では「警告」となっています。

また、CVE-2025-22470は当該製品のWeb管理画面に対して細工されたリクエストを送ることで、認証なしにroot権限で任意のLuaスクリプトを実行することが可能な脆弱性です。こちらはCVSS v3 / v4 共に深刻度評価は「緊急」となっており、Luaスクリプトを介してOSコマンドを実行するなどの操作も可能であることから、悪用された場合に大きな影響が発生する可能性があります。

対策方法

製品開発者が提供する情報をもとに、ファームウェアを最新バージョンにアップデートしてください。ファームウェア適用が困難である場合には、製品開発者が提示している回避方法に従ってWeb管理画面を無効化してください。

当社製ラベルプリンタ商品の脆弱性対応に関する追加のお知らせ|株式会社サトー

発見者

飯田 雅裕(株式会社ラック デジタルペンテスト部)

公表までの経緯

本脆弱性は、情報セキュリティ早期警戒パートナーシップに基づき、ラックからIPAに報告し、JPCERT/CCによって開発者との調整が行われました。

JVN#16547726
JVNDB-2025-000056

CVE番号

CVE-2025-22469(https://www.cve.org/CVERecord?id=CVE-2025-22469)
CVE-2025-22470(https://www.cve.org/CVERecord?id=CVE-2025-22470)

この記事は役に立ちましたか?

はい いいえ

page top