富士フイルムビジネスイノベーション

富士フイルムBIダイレクト

検索

Xerox FreeFlow Coreの脆弱性に関するお知らせ

2025年1月7日

お客様各位

平素より、弊社商品をご愛用いただき、誠にありがとうございます。
弊社商品Xerox FreeFlow デジタル・ワークフロー・コレクションに含まれるXerox FreeFlow Coreにおいて、脆弱性(CVE-2024-47555~47559)*1が存在することが判明しました。

  • *1 NIST(米国国立標準技術研究所)が公開している脆弱性情報

大変ご迷惑をおかけ致しますが、お客様がお使いのXerox FreeFlow Coreが対象バージョンに該当するかをご確認いただき、該当する場合には下記の通りご対応をお願いいたします。

弊社では、本お知らせの掲載時点において、本脆弱性を利用した攻撃は確認しておりません。

脆弱性の内容

弊社商品Xerox FreeFlow Coreにおいて、複数のリモートコード実行につながる下記脆弱性があることが判明いたしました。

  • CVE-2024-47555(High):重要な機能に対する認証の欠如(CWE-306)
  • CVE-2024-47556(High)、CVE-2024-47557(High):
    パストラバーサルによる事前認証リモートコード実行(CWE-22)
  • CVE-2024-47558(High)、CVE-2024-47559(High):
    パストラバーサル経由で認証されたリモートコード実行(CWE-22)

対象商品および対象バージョン

Xerox FreeFlow Core 7.0.0~7.0.10

  • バージョンの確認方法
    1. ログイン後、画面右上にある「?」マークをクリックして、「FreeFlow Core情報」メニューを選択します。

    2. 表示された画面でバージョンを確認します。

対応

Xerox FreeFlow Core 7.0.11

本脆弱性に対応したXerox FreeFlow Core 7.0.11 パッチモジュールを準備いたしました。
こちらの導入をお願いいたします。

https://www.fujifilm.com/fb/download/software/freeflow

回避策

お客様のファイアウォール等で保護されたネットワーク環境内でご利用いただいている場合は本脆弱性の影響は受けません。
そのためXerox FreeFlow Core 7.0.11パッチモジュールを導入いただくまでは、保護されたネットワーク環境内でのご利用をお願いいたします

関連情報

Xerox Security Bulletin XRX24-014 for Xerox® FreeFlow® Core v7.0

CVE-2024-47555:重要な機能に対する認証の欠如(CWE-306)

CVE-2024-47556CVE-2024-47557:パストラバーサルによる事前認証リモートコード実行(CWE-22)

CVE-2024-47558CVE-2024-47559:パストラバーサル経由で認証されたリモートコード実行(CWE-22)

お問合せ先

  • ソフトウェアサポート契約をご契約いただいているお客様

    ソフトウェアサポート契約窓口までご連絡をお願いいたします。

  • ソフトウェアサポート契約を契約されていないお客様

    富士フイルムビジネスイノベーション お客様相談センター
    Webでのお問合せ:https://www.fujifilm.com/fb/support/callcenter/cic

    上記URLより、「商品に関するご質問」を選択し、お問い合わせください。

    フリーダイヤル:0120-27-4100
    受付時間:土日祝日及び年末年始(12/30~1/3)を除く、9:00-12:00、13:00-17:00

このページのトップへ