Szanowni Państwo,
Głęboko doceniamy Twój stały patronat nad produktami Develop.
We wskazanych modelach zidentyfikowano na nowo dwie podatności.
Niniejszy poradnik zawiera ogólne informacje na temat tego problemu oraz zalecanych środków zaradczych.
Należy pamiętać, że w momencie publikacji (30 czerwca 2025 r.) na całym świecie nie było żadnych potwierdzonych incydentów bezpieczeństwa wynikających z wykorzystania tych luk.
Przegląd luk w zabezpieczeniach
| Nr kat. ID | CVSSv3.1 | Wynik podstawowy | EPSS* | Opis luk w zabezpieczeniach |
|---|---|---|---|---|
| CVE-2025-5884 | CVSS:3.1/AV:N/AC:L/PR:L/ UI:R/S:U/C:N/I:L/A:N | 3.5 | 0.03% | Luka w zabezpieczeniach umożliwiająca atakowanie skryptów między witrynami (CWE94, CWE-79) została odkryta w określonych polach wejściowych Web Connection. |
| CVE-2025-5885 | CVSS:3.1/AV:N/AC:L/PR:N/ UI:R/S:U/C:N/I:L/A:N | 4.3 | 0.02% | Odkryto lukę w zabezpieczeniach umożliwiającą fałszowanie żądań między witrynami (CWE-352, CWE-862) w Web Connection. |
*EPSS: Prawdopodobieństwo wystąpienia działań związanych z eksploatacją w ciągu najbliższych 30 dni
Modele, których dotyczy problem
| Nazwa produktu | Wersja, której dotyczy problem |
|---|---|
| Ineo+ 759/+659 ineo+ 658/+558/+458 ineo+ 368/+308/+258 ineo+ 287/+227 ineo+ 3851/+3851FS/+3351 ineo 958/808/758 ineo 658e/558e/458e ineo 368e/308e ineo 558/458/368/308 ineo 367/287/227 ineo 4752/4052 | Wszystkie wersje |
Wpływ na drukarki wielofunkcyjne
- CVE-2025-5884:
W przeglądarce internetowej użytkownika uzyskującego dostęp do połączenia internetowego może zostać wykonany dowolny skrypt. - CVE-2025-5885:
Istnieje możliwość, że konfiguracja produktu może zostać przypadkowo zmieniona lub może zostać wykonana niezamierzona operacja.
Zalecenie dotyczące luk w zabezpieczeniach
Jeśli to możliwe, całkowicie wyłącz połączenie internetowe. W związku z tym luka w zabezpieczeniach nie będzie możliwa do wykorzystania. Alternatywnie prosimy o zapoznanie się z naszymi ogólnymi zaleceniami.
Ogólne zalecenia dotyczące zabezpieczeń
Aby zapewnić bezpieczeństwo działania urządzeń wielofunkcyjnych i zmniejszyć narażenie na luki w zabezpieczeniach opisane w niniejszym poradniku, firma Develop zdecydowanie zaleca stosowanie następujących sprawdzonych metod konfiguracji:
- Unikaj bezpośredniego kontaktu z Internetem
Umieść urządzenia za zaporami sieciowymi i użyj ustawień prywatnego adresowania IP i filtrowania adresów IP urządzeń. - Zmień domyślne hasła
Zmień domyślne poświadczenia i zaimplementuj silne hasła do funkcji administracyjnych i sieciowych. - Używaj silnych haseł do usług
Upewnij się, że skonfigurowano silne poświadczenia dla protokołów SMTP, LDAP, SMB, WebDAV i innych zintegrowanych usług. - Wyłącz nieużywane usługi
Wyłącz nieużywane porty lub protokoły, aby zmniejszyć obszar ataku. - Korzystaj z bezpiecznych protokołów
Skonfiguruj urządzenia do korzystania z szyfrowanej komunikacji (np. HTTPS, LDAPS, IPPS), jeśli jest to obsługiwane. - Monitoruj aktywność urządzenia
Regularnie przeglądaj dzienniki urządzeń i ruch sieciowy pod kątem podejrzanych zachowań. - Włącz uwierzytelnianie, jeśli jest dostępne
Korzystaj z wbudowanych funkcji uwierzytelniania użytkowników, aby zapobiec nieautoryzowanemu dostępowi do funkcji urządzenia.
Aby uzyskać wyczerpujące informacje na temat bezpiecznej konfiguracji, zapoznaj się z naszą witryną internetową poświęconą bezpieczeństwu produktów.
https://www.konicaminolta.com/global-en/security/mfp/setting/index.html
Zwiększanie bezpieczeństwa produktów i usług
Firma develop uważa bezpieczeństwo swoich produktów i usług za ważną odpowiedzialność i będzie nadal aktywnie reagować na incydenty i luki w zabezpieczeniach.
https://www.konicaminolta.com/about/csr/social/customers/enhanced_security.html
Powiązane informacje
https://nvd.nist.gov/vuln/detail/CVE-2025-5884
https://nvd.nist.gov/vuln/detail/CVE-2025-5885
Potwierdzenia
Chcielibyśmy wyrazić nasze szczere uznanie dla zespołu VulDB CNA za wykrycie i odpowiedzialne zgłoszenie tej luki.
Kontakt
Jeśli potrzebujesz dalszych wyjaśnień lub pomocy we wdrożeniu zalecanych środków lub zastosowaniu odpowiedniej aktualizacji oprogramowania układowego, skontaktuj się z autoryzowanym przedstawicielem serwisu Develop.