お知らせ

プリンターのWeb Configで任意のコマンドが実行可能な脆弱性について

発行日2025年12月16日
セイコーエプソン株式会社
エプソン販売株式会社

平素はエプソン製品をご愛用いただきまことにありがとうございます。
一部のプリンターが搭載するWeb Config(注1)で任意のコマンドを実行できてしまう脆弱性が確認されました。

(注1)Web ConfigはWebブラウザー上で製品本体の設定を変更、確認できるソフトウエアです。
なお、Web Configは一部製品でEpsonNet Config(Web版)と呼ばれる場合があります。

■確認された脆弱性

Web Configのログインには管理者パスワードが必要です。
管理者パスワードを取得した悪意のある第三者は、Web Configにログインし特定画面で特定文字列を入力することで任意のコマンドを実行することが可能です。これにより製品の設定の初期化や、他デバイスへPingパケットを送信される可能性があります。

■脆弱性に由来した影響

現在、本脆弱性を悪用した攻撃の報告は確認されておりません。

■対象製品

レシートプリンター
TM-H6000V/TM-L100/TM-m10/TM-m30/TM-m30Ⅱ/TM-m30Ⅱ-H/TM-m30Ⅱ-S/TM-m30Ⅱ-SL
/TM-P60Ⅱ/TM-P20/TM-P80/TM-T20Ⅱ/TM-T20Ⅲ/TM-T88Ⅵ/TM-T88Ⅵ-iHUB/UB-R04(注2)
/UB-E04
大判プリンター
SC-P10050/SC-P20050/SC-P6050/SC-P7050/SC-P8050/SC-P9050/SC-T3250/SC-T3255
/SC-T5250/SC-T5250D/SC-T5255/SC-T5255D/SC-T7250/SC-T7250D/SC-T7255/SC-T7255D
ページプリンター
LP-M8170シリーズ/LP-S180DN/LP-S280DN/LP-S380DN/LP-S3250/LP-S340DN/LP-S3550/LP-S4250
/LP-S440DN/LP-S6160/LP-S7160/LP-S8160/LP-S9070/LP-S950

(注2)対策ファームウエアの供給予定のない「UB-R04」につきましては、下記「回避方法」による対策を強く推奨いたします。

(注)上記以外の製品は、脆弱性が存在しないため影響はございません。

■対策方法

  • 現時点でUB-R04以外の製品につきましては対策ファームウエアを公開しています。
    下記ページから対策ファームウエアをダウンロード、適用いただくことを強く推奨いたします。

サポート&ダウンロード|エプソン

■回避方法

お客様に製品を安心かつ安全にお使いいただくために、下記セキュリティガイドブック第3章に従った設置や設定をお願いいたします。

セキュリティガイドブック(PDFが開きます:1.24MB)

  • セキュリティガイドブックに従った設置や設定
    1. 管理者パスワード
      製品には管理者パスワードを個別に設定してください。
      管理者パスワードは、英文字だけでなく、記号や数字を取り混ぜて8文字以上にする等、他者に推測されにくい複雑な文字列にしてください。
    2. インターネットへの接続
      製品はインターネットに直接接続せず、ファイアウォールで保護されたネットワーク内に設置してください。
      その際には、プライベートIPアドレスを設定して運用してください。

■エプソンのセキュリティーに対する取り組み

セキュリティガイドブックについては下記からご確認下さい。

エプソン製品をネットワークに接続する際の注意事項|お知らせ|エプソン