PaperCut MF/Plus セキュリティ情報 (March 2026)

セキュリティの透明性に対する新たなアプローチ

今回のリリースに伴い、セキュリティの改善点について皆様に伝える方法を刷新しました。
これまでのPaperCut社のセキュリティ情報では、
影響の大きい脆弱性にほぼ限定して焦点を当て、特定の問題について詳細を掘り下げてきました。
今後も主要なセキュリティイベントについては、この「詳細な分析」というアプローチを継続しますが、
セキュリティは多くの場合、数多くの小さな改善の積み重ねによって構築されるものであると認識しています。

透明性を高めるため、より簡潔で頻度の高い報告形式へと移行します。
これにより、これまで従来のセキュリティ情報として発表するには影響度が低すぎると判断されていた、
日常的に発見し修正しているセキュリティ上の問題についても(マイナーリリースであっても)、共有できるようになります。
本セキュリティ情報は、この新しくより包括的な報告スタイルの試験運用となります。

なお、セキュリティ・メーリング・リストは引き続き重大なセキュリティ問題のみに限定して送信されます。

PaperCut社のストラテジー: 一時的な対処にとどまらない

PaperCut社においては、セキュリティは「一度設定すればそれで終わり」というものではなく、継続的な取り組みであると考えています。
今回のアップデートは、当社の進化するストラテジーの直接的な成果です。
単に報告された問題を修正するだけではなく、新たな脆弱性が発見される度に、
開発チームに「パターンハンティング」つまりコードベース全体を積極的に調査し、類似の脆弱性を探し出すを課すようにしています。

予防的なXSS対策

最近PaperCut管理画面において軽微なクロスサイトスクリプティング(XSS)の脆弱性が報告されました。
PaperCut社では直ちにこの特定の脆弱性に対する修正パッチを適用しましたが、
これを機に、より広範な監査を実施することにしました。
この取り組みにより、セキュリティが大幅に向上し、アプリケーション全体で入力フィールドの処理がより堅牢になったほか、
現在推奨されているベストプラクティスを適用することで、将来のインジェクション攻撃に対する製品の耐性も強化されました。
透明性を確保するため、これらの包括的な改善内容をCVE-2026-4794として記録しました。

内部情報開示: Konica Minoltaエンベデッドアプリ

並行して、PaperCut社の社内セキュリティ調査チームは、エンベデッドソフトウェアの監査を行ってきました。
Konica Minoltaのエンベデッドアプリのレビュー中に、
特定の機種と設定の組み合わせにおいて発生する可能性があるデバイスとサーバ間の不安全な通信チャネルを発見しました。
この問題はCVE-2026-5115として社内で特定し修正され、一般公開前に顧客がパッチを適用する時間を確保できるよう、
予防措置として本番ビルトに組み込まれました。

セキュリティ問題への対応

CVE	詳細	CVSS評価とベクター
CVE-2026-4794 PaperCut Plus/MFに複数の クロスサイト スクリプティング(XSS)の脆弱性を 確認	XSSの脆弱性パターンを特定・排除するためのPaperCut社内 調査プロジェクトにより、PaperCut2026年に求めれらているベストプラクティスに 沿ったより堅牢な入力処理を管理画面全体に実装しました。 脆弱性タイプ: クロスサイトスクリプティング(XSS) 影響: 管理者のブラウザセッションにおいて、悪意のあるスクリプトが実行される 可能性がある。 修正: PaperCut Plus/MF25.0.10	2.1(LOW) CVSS:4.0 AV:N/AC:L/AT:P/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N
CVE-2026-5115 Konica Minolta用PaperCut プリントプル またはスキャンアプリにおける セッションハイジャック	内部監査の結果、特定の条件下において、 Konica MinoltaエンベデッドアプリケーションとPaperCutアプリケーションサーバ間の 通信経路にセキュリティ上の脆弱性があることが判明しました。 脆弱性タイプ: セッションハイジャック/ 情報開示 影響: 同じローカルネットワーク上の攻撃者の機密データを傍受したり エンドユーザに対してフィッシング攻撃を仕掛けたりする可能性がある。 修正: l PaperCut MF 25.0.5 (通常のリリース) l PaperCut MF 25.0.9 (Konica Minolta認定リリース)	3.6(LOW) CVSS:4.0 AV:A/AC:H/AT:N/PR:N/UI:P/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N/E:U

影響範囲

PaperCutを下記の環境で実行している場合、影響を受ける可能性があります。

・ PaperCut Plus/MF Ver.25.0.10より前のバージョン

・ Konica Minoltaの複合機にエンベデッドアプリケーションをインストールしていて、
　 PaperCut MF Ver.25.0.5(通常リリース)または25.0.9(KonicaMinolta認定リリース)より古いバージョンを使用している場合

解決方法

PaperCut社は、すべてのお客様にアップグレードサイクルに合わせてPaperCutを最新バージョンにアップグレードすることを推奨しています。

1． PaperCut Plus/MFのアップグレード

2． エンベデッドアプリケーションのアップグレード: Konica Minolta社製品を使用している場合、
　 アプリケーションサーバのアップグレード後にエンベデッドアプリケーションが最新バージョンに更新されているかを確認してください。

3． セキュアな接続の確認: 「HTTPS強制」がPaperCutの設定で有効化されているかを確認してください。

FAQ

Q． どうしてKonica Minoltaの修正プログラムは2つの異なるバージョンが掲載されているのですか?
A． 様々な要件への対応を確保するため、Konica Minoltaには「通常リリース」と
　 「Konica Minolta社が特別に認定したバージョン」という2つの異なるリリーストラックを用意しています。
　 この脆弱性については両方(25.0.5と25.0.9) で修正済みです。

Q． アップグレードせずにこれらの脆弱性を修正することはできますか?
A． できません。これらのセキュリティ強化には最新のリリースにのみ含まれるコードレベルの変更が必要です。
　 これらの問題を解決するためには、XSSの修正(CVE-2026-4794)についてはVer.25.0.10にアップグレードする必要があります。
　 一方、Konica Minolta用修正(CVE-2026-5115)については、Ver.25.0.5(通常リリース)またはVer.25.0.9(認定)以降で利用可能です。

Q． これら脆弱性が悪用された証拠はありますか?
A． ありません。これらの修正はPaperCut社内の内部セキュリティ調査および予防的な監査プロセスを通じて実施されたものです。
　 これらは既知の脆弱性に対する対応ではありません。

セキュリティ通知

PaperCutセキュリティ・メーリングリストの登録方法について記載します。

PaperCutのセキュリティに関するニュース(セキュリティ関連の修正プログラムや脆弱性情報を含む) をタイムリーに受け取りたい場合、
セキュリティ通知リストに登録し、セキュリティ通知登録フォームから登録してください。
システム管理者の方、または組織でPaperCut製品の導入を実施されている方は、
セキュリティ関連のニュースやアップデートをいち早く入手することができます。

【Subscribe to security notifications】
 https://www.papercut.com/contact/security/#subscribe

更新履歴

日時	更新/アクション
2026年03月31日 (ASDT)	最初のセキュリティ情報を公開