Chers clients,
Nous apprécions profondément votre fidélité envers les produits Develop.
Deux failles de sécurité ont été nouvellement identifiées dans certains de nos modèles dont vous pouvez retrouver la liste ci-dessous.
Le bulletin ci-après donne un aperçu des problèmes et des contre-mesures recommandées.
Notez qu’à la date de publication de cette information (30 juin 2025), aucun incident de sécurité résultant de l’exploitation de ces vulnérabilités n’a été signalé à l’échelle mondiale.
Vue d’ensemble de la vulnérabilité
| Ref. ID | CVSSv3.1 | Base Score | EPSS* | Description de la vulnérabilité |
|---|---|---|---|---|
| CVE-2025-5884 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N | 3.5 | 0.03% | Vulnérabilité de type script intersites (CWE-94, CWE-79) présente dans certains champs de saisie de Connexion Web. |
| CVE-2025-5885 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N | 4.3 | 0.02% | Vulnérabilité de type falsification de requêtes intersites (CWE-352, CWE-862) identifiée dans la Connexion Web. |
*EPSS: probabilité d’exploitation dans les 30 prochains jours.
Modèles concernés
| Nom du modèle | Version affectée |
|---|---|
| Ineo+ 759/+659 ineo+ 658/+558/+458 ineo+ 368/+308/+258 ineo+ 287/+227 ineo+ 3851/+3851FS/+3351 ineo 958/808/758 ineo 658e/558e/458e ineo 368e/308e ineo 558/458/368/308 ineo 367/287/227 ineo 4752/4052 | Toutes les versions |
Impact sur les imprimantes multifonctions
– CVE-2025-5884:
Un script arbitraire peut s’exécuter dans le navigateur de l’utilisateur qui accède à la connexion Web.
– CVE-2025-5885:
– La configuration du produit peut être modifiée involontairement, ou une action non désirée peut être effectuée.
Recommandation spécifique
Si possible, désactivez complètement la Connexion Web ; la vulnérabilité ne pourra alors plus être exploitée. À défaut, appliquez les recommandations générales ci-dessous.
Recommandations générales de sécurité
Afin d’assurer un fonctionnement sécurisé de vos appareils multifonctions et de réduire l’exposition aux vulnérabilités décrites, Develop recommande vivement d’appliquer les meilleures pratiques de configuration suivantes :
1. Éviter l’exposition directe à Internet
Placer les appareils derrière un pare-feu et utiliser des adresses IP privées ainsi que le filtrage IP du périphérique.
2. Modifier les mots de passe par défaut
Définir des mots de passe robustes pour les fonctions d’administration et réseau.
3. Utiliser des mots de passe forts pour les services
Assurez-vous que des informations d’identification robustes soient également configurées pour SMTP, LDAP, SMB, WebDAV et tout autre service intégré.
4. Désactiver les services inutilisés
Fermer les ports ou protocoles non utilisés afin de réduire la surface d’attaque.
5. Employer des protocoles sécurisés :
Activer HTTPS, LDAPS, IPPS, etc., lorsque c’est possible, afin que les appareils utilisent des communications chiffrées.
6. Surveiller l’activité de l’appareil
Analyser régulièrement les journaux et le trafic réseau pour détecter tout comportement suspect.
7. Activer l'authentification lorsqu'elle est disponible
Utilisez les fonctions d'authentification utilisateur intégrées pour empêcher tout accès non autorisé aux fonctions de l'appareil.
Pour des instructions détaillées sur la configuration sécurisée, consultez notre site web relatif à la sécurité des produits : www.konicaminolta.com/global-en/security/mfp/setting/index.html
Renforcement continu de la sécurité
Develop considère la sécurité de ses produits et services comme une responsabilité essentielle et continuera à traiter de manière proactive incidents et vulnérabilités. www.konicaminolta.com/about/csr/social/customers/enhanced_security.html
Informations connexes nvd.nist.gov/vuln/detail/CVE-2025-5884 nvd.nist.gov/vuln/detail/CVE-2025-5885
Remerciements
Nous remercions l'équipe CNA de VulDB pour pour la découverte et la divulgation responsable de ces vulnérabilités.
Contact
Pour toute précision ou assistance concernant l’application des mesures recommandées ou la mise à jour du micrologiciel, veuillez contacter votre représentant Develop agréé.