อัปเดต (เพิ่มช่องโหว่ 8 รายการ): ช่องโหว่ Server-Side Request Forgery
อัปเดตล่าสุด: วันที่ 10 เมษายน 2023 เวลา 12:00 น. (2023-04-10T11:00:00+09:00)
เผยแพร่เป็นครั้งแรก: วันที่ 21 กุมภาพันธ์ 2023 เวลา 16.00 น. (2023-02-21T14:00:00+09:00)
Ricoh Company, Ltd.
ริโก้ตระหนักถึงความสำคัญของความปลอดภัยและมุ่งมั่นที่จะจัดการผลิตภัณฑ์และบริการด้วยเทคโนโลยีด้านความปลอดภัยที่ทันสมัยที่สุดสำหรับลูกค้าทั่วโลก
ริโก้ได้ตรวจพบช่องโหว่ที่ทำให้เกิดความเสี่ยงจากการโจมตีโดยการปลอมแปลงคำร้องขอจากฝั่งเซิร์ฟเวอร์หรือ Server-Side Request Forgery (SSRF) (CVE-2023-23560) ในผลิตภัณฑ์บางรุ่นของเรา ดังรายการด้านล่าง
โดย SSRF สามารถเกิดขึ้นได้ หากปราศจากการตรวจสอบความถูกต้องในการนำเข้าข้อมูล (Input Validation)
การเจาะช่องโหว่ดังกล่าวสำเร็จจะทำให้ผู้โจมตีสามารถรันคำสั่งแปลกปลอมบนอุปกรณ์จากระยะไกลได้ตามต้องการ (Arbitrary Code Execution) สำหรับรายละเอียดเพิ่มเติม โปรดดูข้อมูลอ้างอิงจาก URL ด้านล่าง:
https://nvd.nist.gov/vuln/detail/CVE-2023-23560
อัปเดต (เพิ่มช่องโหว่ 8 รายการ): 10 เมษายน 2023
CVE-2023-26063: อาจก่อให้เกิดช่องโหว่ Type Confusion กับ PostScript Interpreter
CVE-2023-26064: อาจก่อให้เกิดช่องโหว่ Out of Bounds Write กับ PostScript Interpreter
CVE-2023-26065: อาจก่อให้เกิดภาวะ Integer Overflow กับ PostScript Interpreter
CVE-2023-26066: PostScript Interpreter อาจตรวจสอบความถูกต้องของกองเอกสารได้ไม่ถูกต้อง
CVE-2023-26067: การปราศจากการตรวจสอบความถูกต้องในการนำเข้าข้อมูลอาจทำให้ผู้โจมตีที่เจาะเข้าเครื่องได้เรียบร้อยแล้วนั้นทำการยกระดับสิทธิ์การใช้งานของตัวเอง
CVE-2023-26068: Embedded Web Server อาจชะล้าง (sanitize) ข้อมูลนำเข้าให้ปลอดภัยได้ไม่เหมาะสม
CVE-2023-26069: อาจมีการรันโค้ดแปลกปลอมเนื่องจากปราศจากการตรวจสอบความถูกต้องในการนำเข้าข้อมูลใน Web API
CVE-2023-26070: อาจมีการรันโค้ดแปลกปลอมเนื่องจากปราศจากการตรวจสอบความถูกต้องในการนำเข้าข้อมูลในคุณลักษณะ SNMP
การเจาะช่องโหว่ดังกล่าวสำเร็จจะทำให้ผู้โจมตีสามารถรันคำสั่งแปลกปลอมบนอุปกรณ์จากระยะไกลได้ตามต้องการ (Arbitrary Code Execution)
| Vulnerability Information ID | ricoh-2023-000002 |
| เวอร์ชัน | 1.01E |
| CVE ID(CWE ID) | CVE-2023-23560 (CWE-918,CWE-20,CWE-77) CVE-2023-26063 (CWE-843) CVE-2023-26064 (CWE-847) CVE-2023-26065 (CWE-190) CVE-2023-26066 (CWE-129)CVE-2023-26067 (CWE-20,CWE-269)CVE-2023-26068 (CWE-20,CWE-267) CVE-2023-26069 (CWE-20)CVE-2023-26070 (CWE-20) |
| CVSSv3 score | 9.0 CRITICAL |
รายการที่ 1: ผลิตภัณฑ์และบริการของริโก้ที่ได้รับผลกระทบจากช่องโหว่นี้
| ผลิตภัณฑ์/บริการ | ลิงก์สำหรับรายละเอียด |
| M C240FW | ได้รับผลกระทบ สำหรับรายละเอียดเพิ่มเติม โปรดคลิก URL ด้านล่าง https://www.ricoh.com/products/security/vulnerabilities/adv?id=ricoh-prod000067-2023-000002 |
| P C200W | ได้รับผลกระทบ สำหรับรายละเอียดเพิ่มเติม โปรดคลิก URL ด้านล่าง https://www.ricoh.com/products/security/vulnerabilities/adv?id=ricoh-prod000065-2023-000002 |
ช่องทางการติดต่อ:
หากมีข้อสงสัย โปรดติดต่อตัวแทนจำหน่ายริโก้หรือร้านค้าใกล้บ้านคุณ
ประวัติ:
2023-04-10T11:00:00+09:00 : 1.01E เพิ่มช่องโหว่ 8 รายการ
2023-02-21T14:00:00+09:00 : 1.00E เผยแพร่เป็นครั้งแรก
News & Events
Keep up to date
- 14พ.ย.
เครื่องพิมพ์มัลติฟังก์ชัน IM C320F จากริโก้คว้ารางวัล Pick Award ประจำปี 2567 จาก Keypoint Intelligence
- 31ต.ค.
ริโก้เผยแพร่เอกสาร Ricoh Group Integrated Report 2024 และ Ricoh Group Environmental Report 2024
- 21ต.ค.
ลงทะเบียนฟรี งานสัมมนาออนไลน์จากริโก้ หัวข้อ “Cyber Transformation & Operations”
- 18ต.ค.
ริโก้เข้าร่วมเป็นสมาชิกสามัญในศูนย์ญี่ปุ่นเพื่อการมีส่วนร่วมและแก้ไขปัญหาทางธุรกิจและสิทธิมนุษยชน