Ευπάθειες που επηρεάζουν τη σύνδεση Web των πολυλειτουργικών συσκευών

Αγαπητοί συνεργάτες,

Εκτιμούμε βαθύτατα τη συνεχή σας υποστήριξη στα προϊόντα της Develop. 

Πολλαπλές ευπάθειες ασφαλείας έχουν εντοπιστεί πρόσφατα στα παρακάτω μοντέλα.  

Αυτή η συμβουλευτική σελίδα παρέχει μια επισκόπηση του προβλήματος και τα προτεινόμενα μέτρα ασφαλείας. 

Παρακαλούμε σημειώστε ότι, κατά τη στιγμή της δημοσίευσης (30.06.25), δεν έχουν επιβεβαιωθεί περιστατικά ασφαλείας σε παγκόσμιο επίπεδο που να προκύπτουν από την εκμετάλλευση αυτών των ευπαθειών.   

Επισκόπηση των Ευπαθειών

Ref. IDCVSSv3.1Base ScoreEPSS*Vulnerabilities description
CVE-2025-5884CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N3.50.03%Cross-site scripting vulnerability (CWE94, CWE-79) was found in the specific input fields of Web Connection.
CVE-2025-5885CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N4.30.02%Cross-site request forgery vulnerability (CWE-352, CWE-862) was found in Web Connection.

*EPSS: Probability of exploitation activity in the next 30 days

Επηρεαζόμενες Συσκευές

Product nameAffected version
Ineo+ 759/+659
ineo+ 658/+558/+458
ineo+ 368/+308/+258
ineo+ 287/+227
ineo+ 3851/+3851FS/+3351
ineo 958/808/758
ineo 658e/558e/458e
ineo 368e/308e
ineo 558/458/368/308
ineo 367/287/227
ineo 4752/4052
All Versions

Επίδραση στις Πολυλειτουργικές Εκτυπωτικές Συσκευές

 

 

  • CVE-2025-5884: Μπορεί να εκτελεστεί αυθαίρετο σενάριο (script) στον φυλλομετρητή (web browser) του χρήστη που έχει πρόσβαση στη σύνδεση web.
  • CVE-2025-5885: Υπάρχει η πιθανότητα να αλλάξει η ρύθμιση του προϊόντος ακούσια ή να εκτελεστεί μια ανεπιθύμητη λειτουργία.

Ειδική Σύσταση για την Ευπάθεια

Εφόσον είναι εφικτό, απενεργοποιήστε πλήρως τη σύνδεση Web. Με αυτόν τον τρόπο, η ευπάθεια δεν θα μπορεί να εκμεταλλευτεί από κάποιον χρήστη. Σε διαφορετική περίπτωση, παρακαλούμε να ακολουθήσετε τις γενικές μας συστάσεις. 

Γενικές Συστάσεις Ασφαλείας

Για να διασφαλίσετε ασφαλή λειτουργία των πολυλειτουργικών σας συσκευών και να μειώσετε την έκθεση στις ευπάθειες που περιγράφονται στην παρούσα ανακοίνωση, η Konica Minolta συνιστά ανεπιφύλακτα την εφαρμογή των παρακάτω βέλτιστων πρακτικών ρύθμισης: 

  1. Αποφύγετε την άμεση σύνδεση στο διαδίκτυο
    Τοποθετήστε τις συσκευές πίσω από τείχος προστασίας (firewall) και χρησιμοποιήστε ιδιωτικές διευθύνσεις IP. 
  2. Αλλάξτε τους προεπιλεγμένους κωδικούς πρόσβασης
    Αντικαταστήστε τα εργοστασιακά διαπιστευτήρια και εφαρμόστε ισχυρούς κωδικούς πρόσβασης για τις λειτουργίες διαχείρισης και δικτύου.
  3. Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης
    Βεβαιωθείτε ότι έχουν ρυθμιστεί ισχυρά διαπιστευτήρια για υπηρεσίες όπως SMTP, LDAP και άλλες ενσωματωμένες λειτουργίες.
  4. Απενεργοποιήστε τις μη χρησιμοποιούμενες υπηρεσίεςServices
    Απενεργοποιήστε τις πόρτες ή τα πρωτόκολλα που δεν χρησιμοποιούνται (ιδίως τα WSD και TFTP), ώστε να μειωθούν τα σημεία ευπάθειας. 
  5. Χρησιμοποίηστε ασφαλή πρωτόκολλα
    Διαμορφώστε τις συσκευές ώστε να χρησιμοποιούν κρυπτογραφημένες επικοινωνίες (π.χ. HTTPS, LDAPS, IPPS), όπου υποστηρίζεται. 
  6. Παρακολουθήστε την δραστηριότητα της συσκεύής
    Ελέγχετε τακτικά τα αρχεία καταγραφής της συσκευής και την κίνηση στο δίκτυο για ύποπτη δραστηριότητα. 
  7. Ενεργοποιήστε την αυθεντικόποιηση όπου είναι διαθέσιμη
    Χρησιμοποιήστε ενσωματωμένες λειτουργίες πιστοποίησης χρήστη για να αποτρέψετε μη εξουσιοδοτημένη πρόσβαση σε λειτουργίες της συσκευής.

Για αναλυτικές πληροφορίες σχετικά με την ασφαλή διαμόρφωση, παρακαλούμε ανατρέξτε στον ιστότοπο Ασφάλειας Προϊόντος μας.
https://www.konicaminolta.com/global-en/security/mfp/setting/index.html

Ενίσχυση της Ασφάλειας Προϊόντων και Υπηρεσιών

Η Develop θεωρεί την ασφάλεια των προϊόντων και υπηρεσιών της σημαντική ευθύνη και θα συνεχίσει να ανταποκρίνεται ενεργά σε περιστατικά και ευπάθειες. 
https://www.konicaminolta.com/about/csr/social/customers/enhanced_security.html

Σχετικές Πληροφορίες
https://nvd.nist.gov/vuln/detail/CVE-2025-5884
https://nvd.nist.gov/vuln/detail/CVE-2025-5885

Ευχαριστίες

Θα θέλαμε να εκφράσουμε την ειλικρινή μας εκτίμηση στην ομάδα VulDB CNA για την ανακάλυψη και την υπεύθυνη αναφορά αυτής της ευπάθειας.

Επικοινωνία

Σε περίπτωση που χρειάζεστε περαιτέρω διευκρινίσεις ή βοήθεια σχετικά με την εφαρμογή των προτεινόμενων μέτρων ή την εγκατάσταση της σχετικής ενημέρωσης firmware, παρακαλούμε επικοινωνήστε με τον εξουσιοδοτημένο εκπρόσωπο τεχνικής εξυπηρέτησης της Develop.