查看原文
其他

数百款惠普打印机易受严重RCE漏洞影响

Bill Toulas 代码卫士 2022-05-31

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

惠普发布了关于三个严重漏洞的安全公告,它们影响数百款 LaserJet Pro、Pagewide Pro、Office.Jet、Enterprise、Large Format 和 DeskJet 打印机机型。


缓冲区溢出漏洞


第一份安全公告和缓冲区溢出漏洞有关,它可导致在受影响机器上执行远程代码。该漏洞的编号是CVE-2022-3942,虽然CVSS评分为8.4,但惠普将其评级为“严重”级别。安全公告指出,某些惠普打印产品和数字化发送产品可能易受潜在的远程代码执行和缓冲区溢出漏洞影响。

惠普已为多数受影响产品发布固件安全更新。对于无补丁的机型,惠普提供了缓解指南,解决了网络设置中禁用LLMNR引发的问题。


两个严重漏洞和一个高危漏洞


惠普发布了和两个严重漏洞和一个高危漏洞相关的第二份安全公告,这些漏洞可被用于泄露信息、执行远程代码和引发拒绝服务。

这三个漏洞是CVE-2022-24291(CVSS 7.5)、CVE-2022-24292(CVSS 9.8)和CVE-2022-24293(CVSS 9.8)。惠普建议用户将打印机固件更新至指定版本,但该版本并非适用于所有受影响机型。目前并不存在修复其中一个 LaserJet Pro 机型的缓解建议,但正在推出,因此相关安全更新将很快产生。

所有其它机型的管理员可访问惠普的官方软件和驱动下载门户网站,导航至所选设备机型并安装最新的可用固件版本。

虽然惠普尚未发布这些漏洞的太多详情,但远程代码执行和信息泄露漏洞通常影响深远并带来严重后果。因此,建议用户尽快应用这些安全更新,部署网络防火墙并施加远程访问控制策略。




代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com





推荐阅读

16个UEFI固件漏洞影响惠普多个产品线,其中1个影响无数厂商

施乐悄悄修复影响某些打印机中的严重缺陷

严重漏洞已存在16年,数亿台打印机受影响

从 CVE-2020-1048 到 CVE-2020-17001:Windows打印机模块中多个提权漏洞分析

研究员轻松劫持2.8万台打印机




原文链接

https://www.bleepingcomputer.com/news/security/hundreds-of-hp-printer-models-vulnerable-to-remote-code-execution/


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存