PaperCut NG/MF に認証回避の脆弱性(CVE-2023-27351)— 印刷管理サーバの管理機能に不正到達されうる問題
印刷管理ソフト PaperCut NG/MF に、認証(本人確認の仕組み)を回避されうる脆弱性が見つかりました。攻撃者が正規のログインを経ずに管理機能へ到達できる恐れがあります。
脆弱性の基本情報
- CVE番号CVE-2023-27351
- CVSS基本値7.5 HIGH
- CVSSベクタCVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
- 対象(ベンダー/製品)PaperCut NG/MF
- CWECWE-287
- 悪用状況CISA KEV 掲載(実際の悪用を確認)/ランサムウェアでの悪用も確認
- 是正期限2026-05-04(米連邦民生機関・BOD 22-01)
要点
- 対象は印刷管理ソフト PaperCut NG/MF で、認証(本人確認)を回避されうる「不適切な認証」の脆弱性。
- KEV 記録では SecurityRequestFilter クラスを介して認証が回避されうるとされ、管理機能への不正到達につながりうる。
- CISA が「悪用確認済みの既知の脆弱性(KEV)」に登録(追加日 2026-04-20、是正期限 2026-05-04)。
- ランサムウェアでの悪用が確認済みで、広く普及した管理サーバとして侵入の足がかりに狙われやすい。
- NVD 公式の深刻度は CVSS 7.5(HIGH)。対応はベンダー指示に従う緩和、BOD 22-01 遵守、緩和不可なら使用中止。
「認証」とは、利用者が本人かどうかを確かめ、許可された人だけにシステムの操作を許す仕組みです。本件はその確認が適切に行われず回避されうる「不適切な認証」に分類されます。KEV の記録によれば、影響を受けるインストールでは SecurityRequestFilter クラスを介して認証が回避されうるとされています。広く普及した管理サーバが正規のログインを経ずに操作されうる点が、この問題の核心です。
PaperCut NG/MF は印刷の集計・課金・利用制御を担うため、組織のネットワーク内で重要な位置を占めます。CISA はこの脆弱性を「悪用が確認された既知の脆弱性(KEV:Known Exploited Vulnerabilities)」のカタログに登録し、さらにランサムウェア(データを暗号化して身代金を要求する攻撃)での悪用も確認済みと位置づけています。多数の組織で動く管理サーバは、侵入の足がかりとして狙われやすい典型例です。
NVD 公式の深刻度評価は CVSS 基本値 7.5(HIGH、CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)です。CISA は対応として、ベンダーの指示に従った緩和の適用、米連邦の指令 BOD 22-01 の遵守、緩和ができない場合は製品の使用中止を挙げ、KEV 追加日を 2026-04-20、是正期限を 2026-05-04 としています。
なぜ重要か
印刷管理サーバは組織ネットワークの内部に置かれ、多数の利用者と機器に接続するため、認証回避が成立すると管理機能への不正到達を許す恐れがあります。ランサムウェアでの悪用が確認されていることから、侵入の足がかりとして狙われるリスクが想定されます。CISA は是正期限を 2026-05-04 と定めており、対応の優先度は高いと位置づけられています。
よくある質問(FAQ)
PaperCut NG/MF とは何ですか。
CISA はどのような対応を求めていますか。
出典(一次情報)
本記事は下記の米国公式データに基づく独自整理です。正確・最新の内容、適用可否は必ず公式・ベンダーでご確認ください。
- CISA KEV Catalog(悪用確認済み一覧)
- NVD(CVE詳細・CVSS)
- ベンダー/参考アドバイザリ
- This product uses data from the NVD API but is not endorsed or certified by the NVD. KEV データは CC0(パブリックドメイン)です。