Описание
Уязвимость программного обеспечения для управления устройствами EPSON WebConfig и EPSON Web Control связана с недостаточным ограничением попыток аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к настройкам устройства
Вендор
Seiko Epson Corp.
Наименование ПО
EB-2265U
EB-2245U
EB-2165W
EB-2155W
EB-2140W
EB-2065
EB-2040
EB-695WT
EB-685WT
EB-685W
EB-680
EB-1785W
EB-1780W
EB-1795F
EB-1485FT
EB-800F
EB-805F
EB-E01
EB-X06
EB-W06
EB-FH52
EH-TW750
EB-982W
EB-992F
EB-L30000U
EB-L30002U
EB-L730U
EB-L630U
EB-L630W
EB-L630SU
EB-PU1008W
EB-PU1008B
EB-PU1007W
EB-PU1007B
EB-PU2010W
EB-PU2010B
EB-PU2120W
EB-PU2116W
EB-PU2113W
EB-PU2220B
EB-PU2216B
EB-PU2213B
EB-PU2220S
EB-PU2120S
EB-L260F
EB-L210W
EB-L210SW
EB-770Fi
EB-770F
EB-760Wi
EB-760W
EB-810E
EB-815E
EB-PQ2008W
EB-PQ2008B
EB-PQ2010B
EB-PQ2216W
EB-PQ2216B
EB-PQ2220B
EB-L890E
EB-L895E
EB-L690E
EB-L795SE
EB-L890U
EB-L790U
EB-L690U
EB-L790SU
EB-L690SE
EB-L695SE
EB-FH08
EB-W55
EB-FH54
EH-TW850
EB-735Fi
EB-725Wi
EB-725W
EB-755F
EB-750F
EB-L200W
EB-L255F
EB-L250F
EB-L200SW
EH-LS12000B
EH-LS11000W
EB-W50
EV-115
EV-110
EH-QL3000B
EH-QL3000W
EPSON WebConfig
Epson Web Control
Версия ПО
до 1.21 (EB-2265U)
до 1.21 (EB-2245U)
до 1.21 (EB-2165W)
до 1.21 (EB-2155W)
до 1.21 (EB-2140W)
до 1.21 (EB-2065)
до 1.21 (EB-2040)
до 1.24 (EB-695WT)
до 1.24 (EB-685WT)
до 1.24 (EB-685W)
до 1.24 (EB-680)
до 1.11 (EB-1785W)
до 1.11 (EB-1780W)
до 1.11 (EB-1795F)
до 3.61 (EB-1485FT)
до 3.61 (EB-800F)
до 3.61 (EB-805F)
до 2.16 (EB-E01)
до 2.16 (EB-X06)
до 2.16 (EB-W06)
до 2.16 (EB-FH52)
до 2.16 (EH-TW750)
до 2.16 (EB-982W)
до 2.16 (EB-992F)
до 5.11 (EB-L30000U)
до 5.11 (EB-L30002U)
до 1.41 (EB-L730U)
до 1.41 (EB-L630U)
до 1.41 (EB-L630W)
до 1.41 (EB-L630SU)
до 2.65 (EB-PU1008W)
до 2.65 (EB-PU1008B)
до 2.65 (EB-PU1007W)
до 2.65 (EB-PU1007B)
до 2.65 (EB-PU2010W)
до 2.65 (EB-PU2010B)
до 2.62 (EB-PU2120W)
до 2.62 (EB-PU2116W)
до 2.62 (EB-PU2113W)
до 2.62 (EB-PU2220B)
до 2.62 (EB-PU2216B)
до 2.62 (EB-PU2213B)
до 2.62 (EB-PU2220S)
до 2.62 (EB-PU2120S)
до 1.62 (EB-L260F)
до 1.62 (EB-L210W)
до 1.62 (EB-L210SW)
до 1.62 (EB-770Fi)
до 1.62 (EB-770F)
до 1.62 (EB-760Wi)
до 1.62 (EB-760W)
до 1.31 (EB-810E)
до 1.31 (EB-815E)
до 1.71 (EB-PQ2008W)
до 1.71 (EB-PQ2008B)
до 1.71 (EB-PQ2010B)
до 1.71 (EB-PQ2216W)
до 1.71 (EB-PQ2216B)
до 1.71 (EB-PQ2220B)
до 2.00 (EB-L890E)
до 2.00 (EB-L895E)
до 2.00 (EB-L690E)
до 2.00 (EB-L795SE)
до 2.00 (EB-L890U)
до 2.00 (EB-L790U)
до 2.00 (EB-L690U)
до 2.00 (EB-L790SU)
до 2.00 (EB-L690SE)
до 2.00 (EB-L695SE)
до 1.03 (EB-FH08)
до 1.12 (EB-W55)
до 2.00 (EB-FH54)
до 2.00 (EH-TW850)
- (EB-735Fi)
- (EB-725Wi)
- (EB-725W)
- (EB-755F)
- (EB-750F)
- (EB-L200W)
- (EB-L255F)
- (EB-L250F)
- (EB-L200SW)
- (EH-LS12000B)
- (EH-LS11000W)
- (EB-W50)
- (EV-115)
- (EV-110)
- (EH-QL3000B)
- (EH-QL3000W)
- (EPSON WebConfig)
- (Epson Web Control)
Тип ПО
ПО программно-аппаратного средства
Сетевое программное средство
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,8)
Критический уровень опасности (оценка CVSS 4.0 составляет 9,3)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений (WAF) для фильтрации сетевого трафика;
- использование протокола HTTPS для организации доступа к программному обеспечению;
- использование надёжных паролей в соответствии с принятой в организации парольной политикой;
- ограничение доступа к уязвимому программному обеспечению, используя схему доступа по «белым спискам»;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей;
- ограничение доступа из внешних сетей (Интернет).
Использование рекомендаций производителя:
https://www.epson.jp/support/misc_t/251120_oshirase.htm
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 30%
0.00111
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2
Связанные уязвимости
CVSS3: 9.8
nvd
3 месяца назад
EPSON WebConfig and Epson Web Control for SEIKO EPSON Projector Products do not restrict excessive authentication attempts. An administrative user's password may be identified through a brute force attack.
CVSS3: 9.8
github
3 месяца назад
EPSON WebConfig and Epson Web Control for SEIKO EPSON Projector Products do not restrict excessive authentication attempts. An administrative user's password may be identified through a brute force attack.
EPSS
Процентиль: 30%
0.00111
Низкий
9.8 Critical
CVSS3
10 Critical
CVSS2