お客様各位
平素より、弊社商品をご愛用いただき、誠にありがとうございます。
弊社商品Xerox FreeFlow デジタル・ワークフロー・コレクションに含まれるXerox FreeFlow Coreにおいて、脆弱性(CVE-2024-47555~47559)*1が存在することが判明しました。
- *1 NIST(米国国立標準技術研究所)が公開している脆弱性情報
大変ご迷惑をおかけ致しますが、お客様がお使いのXerox FreeFlow Coreが対象バージョンに該当するかをご確認いただき、該当する場合には下記の通りご対応をお願いいたします。
弊社では、本お知らせの掲載時点において、本脆弱性を利用した攻撃は確認しておりません。
弊社商品Xerox FreeFlow Coreにおいて、複数のリモートコード実行につながる下記脆弱性があることが判明いたしました。
- CVE-2024-47555(High):重要な機能に対する認証の欠如(CWE-306)
- CVE-2024-47556(High)、CVE-2024-47557(High):
パストラバーサルによる事前認証リモートコード実行(CWE-22) - CVE-2024-47558(High)、CVE-2024-47559(High):
パストラバーサル経由で認証されたリモートコード実行(CWE-22)
Xerox FreeFlow Core 7.0.0~7.0.10
- バージョンの確認方法
1. ログイン後、画面右上にある「?」マークをクリックして、「FreeFlow Core情報」メニューを選択します。
2. 表示された画面でバージョンを確認します。
Xerox FreeFlow Core 7.0.11
本脆弱性に対応したXerox FreeFlow Core 7.0.11 パッチモジュールを準備いたしました。
こちらの導入をお願いいたします。
お客様のファイアウォール等で保護されたネットワーク環境内でご利用いただいている場合は本脆弱性の影響は受けません。
そのためXerox FreeFlow Core 7.0.11パッチモジュールを導入いただくまでは、保護されたネットワーク環境内でのご利用をお願いいたします
CVE-2024-47555:重要な機能に対する認証の欠如(CWE-306)
CVE-2024-47556、CVE-2024-47557:パストラバーサルによる事前認証リモートコード実行(CWE-22)
CVE-2024-47558、CVE-2024-47559:パストラバーサル経由で認証されたリモートコード実行(CWE-22)
- ソフトウェアサポート契約をご契約いただいているお客様
ソフトウェアサポート契約窓口までご連絡をお願いいたします。 - ソフトウェアサポート契約を契約されていないお客様
富士フイルムビジネスイノベーション お客様相談センター
上記より、「商品に関するご質問」を選択し、お問い合わせください。
フリーダイヤル:0120-27-4100
受付時間:土日祝日及び年末年始(12/30~1/3)を除く、9:00-12:00、13:00-17:00