อัปเดต (เพิ่มช่องโหว่ 8 รายการ): ช่องโหว่ Server-Side Request Forgery

11 เม.ย. 2566

อัปเดตล่าสุด: วันที่ 10 เมษายน 2023 เวลา 12:00 น. (2023-04-10T11:00:00+09:00)
เผยแพร่เป็นครั้งแรก: วันที่ 21 กุมภาพันธ์ 2023 เวลา 16.00 น. (2023-02-21T14:00:00+09:00)
Ricoh Company, Ltd.

ริโก้ตระหนักถึงความสำคัญของความปลอดภัยและมุ่งมั่นที่จะจัดการผลิตภัณฑ์และบริการด้วยเทคโนโลยีด้านความปลอดภัยที่ทันสมัยที่สุดสำหรับลูกค้าทั่วโลก

ริโก้ได้ตรวจพบช่องโหว่ที่ทำให้เกิดความเสี่ยงจากการโจมตีโดยการปลอมแปลงคำร้องขอจากฝั่งเซิร์ฟเวอร์หรือ Server-Side Request Forgery (SSRF) (CVE-2023-23560) ในผลิตภัณฑ์บางรุ่นของเรา ดังรายการด้านล่าง

โดย SSRF สามารถเกิดขึ้นได้ หากปราศจากการตรวจสอบความถูกต้องในการนำเข้าข้อมูล (Input Validation)

การเจาะช่องโหว่ดังกล่าวสำเร็จจะทำให้ผู้โจมตีสามารถรันคำสั่งแปลกปลอมบนอุปกรณ์จากระยะไกลได้ตามต้องการ (Arbitrary Code Execution) สำหรับรายละเอียดเพิ่มเติม โปรดดูข้อมูลอ้างอิงจาก URL ด้านล่าง:

https://nvd.nist.gov/vuln/detail/CVE-2023-23560

อัปเดต (เพิ่มช่องโหว่ 8 รายการ): 10 เมษายน 2023

CVE-2023-26063: อาจก่อให้เกิดช่องโหว่ Type Confusion กับ PostScript Interpreter
CVE-2023-26064: อาจก่อให้เกิดช่องโหว่ Out of Bounds Write กับ PostScript Interpreter
CVE-2023-26065: อาจก่อให้เกิดภาวะ Integer Overflow กับ PostScript Interpreter
CVE-2023-26066: PostScript Interpreter อาจตรวจสอบความถูกต้องของกองเอกสารได้ไม่ถูกต้อง
CVE-2023-26067: การปราศจากการตรวจสอบความถูกต้องในการนำเข้าข้อมูลอาจทำให้ผู้โจมตีที่เจาะเข้าเครื่องได้เรียบร้อยแล้วนั้นทำการยกระดับสิทธิ์การใช้งานของตัวเอง
CVE-2023-26068: Embedded Web Server อาจชะล้าง (sanitize) ข้อมูลนำเข้าให้ปลอดภัยได้ไม่เหมาะสม
CVE-2023-26069: อาจมีการรันโค้ดแปลกปลอมเนื่องจากปราศจากการตรวจสอบความถูกต้องในการนำเข้าข้อมูลใน Web API
CVE-2023-26070: อาจมีการรันโค้ดแปลกปลอมเนื่องจากปราศจากการตรวจสอบความถูกต้องในการนำเข้าข้อมูลในคุณลักษณะ SNMP

การเจาะช่องโหว่ดังกล่าวสำเร็จจะทำให้ผู้โจมตีสามารถรันคำสั่งแปลกปลอมบนอุปกรณ์จากระยะไกลได้ตามต้องการ (Arbitrary Code Execution) 

 Vulnerability Information IDricoh-2023-000002
 เวอร์ชัน1.01E
 CVE ID(CWE ID)CVE-2023-23560 (CWE-918,CWE-20,CWE-77) CVE-2023-26063 (CWE-843) CVE-2023-26064 (CWE-847) CVE-2023-26065 (CWE-190) CVE-2023-26066 (CWE-129)CVE-2023-26067 (CWE-20,CWE-269)CVE-2023-26068 (CWE-20,CWE-267) CVE-2023-26069 (CWE-20)CVE-2023-26070 (CWE-20)
 CVSSv3 score9.0  CRITICAL 

รายการที่ 1: ผลิตภัณฑ์และบริการของริโก้ที่ได้รับผลกระทบจากช่องโหว่นี้

ผลิตภัณฑ์/บริการ  ลิงก์สำหรับรายละเอียด
M C240FWได้รับผลกระทบ สำหรับรายละเอียดเพิ่มเติม โปรดคลิก URL ด้านล่าง
https://www.ricoh.com/products/security/vulnerabilities/adv?id=ricoh-prod000067-2023-000002
P C200Wได้รับผลกระทบ สำหรับรายละเอียดเพิ่มเติม โปรดคลิก URL ด้านล่าง
https://www.ricoh.com/products/security/vulnerabilities/adv?id=ricoh-prod000065-2023-000002

ช่องทางการติดต่อ:

หากมีข้อสงสัย โปรดติดต่อตัวแทนจำหน่ายริโก้หรือร้านค้าใกล้บ้านคุณ 

ประวัติ:

2023-04-10T11:00:00+09:00 : 1.01E เพิ่มช่องโหว่ 8 รายการ
2023-02-21T14:00:00+09:00 : 1.00E เผยแพร่เป็นครั้งแรก