惠普发布安全公告,数百款LaserJetPro、PagewidePro等打印机存在严重漏洞,可能导致远程代码执行。其中,缓冲区溢出漏洞CVE-2022-3942被标记为“严重”,而另外两个严重和一个高危漏洞可能引起信息泄露和拒绝服务。惠普已为部分产品发布固件更新,建议用户尽快更新以防止潜在风险。
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
惠普发布了关于三个严重漏洞的安全公告,它们影响数百款 LaserJet Pro、Pagewide Pro、Office.Jet、Enterprise、Large Format 和 DeskJet 打印机机型。
缓冲区溢出漏洞
第一份安全公告和缓冲区溢出漏洞有关,它可导致在受影响机器上执行远程代码。该漏洞的编号是CVE-2022-3942,虽然CVSS评分为8.4,但惠普将其评级为“严重”级别。安全公告指出,某些惠普打印产品和数字化发送产品可能易受潜在的远程代码执行和缓冲区溢出漏洞影响。
惠普已为多数受影响产品发布固件安全更新。对于无补丁的机型,惠普提供了缓解指南,解决了网络设置中禁用LLMNR引发的问题。
两个严重漏洞和一个高危漏洞
惠普发布了和两个严重漏洞和一个高危漏洞相关的第二份安全公告,这些漏洞可被用于泄露信息、执行远程代码和引发拒绝服务。
这三个漏洞是CVE-2022-24291(CVSS 7.5)、CVE-2022-24292(CVSS 9.8)和CVE-2022-24293(CVSS 9.8)。惠普建议用户将打印机固件更新至指定版本,但该版本并非适用于所有受影响机型。目前并不存在修复其中一个 LaserJet Pro 机型的缓解建议,但正在推出,因此相关安全更新将很快产生。
所有其它机型的管理员可访问惠普的官方软件和驱动下载门户网站,导航至所选设备机型并安装最新的可用固件版本。
虽然惠普尚未发布这些漏洞的太多详情,但远程代码执行和信息泄露漏洞通常影响深远并带来严重后果。因此,建议用户尽快应用这些安全更新,部署网络防火墙并施加远程访问控制策略。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
16个UEFI固件漏洞影响惠普多个产品线,其中1个影响无数厂商
从 CVE-2020-1048 到 CVE-2020-17001:Windows打印机模块中多个提权漏洞分析
原文链接
https://www.bleepingcomputer.com/news/security/hundreds-of-hp-printer-models-vulnerable-to-remote-code-execution/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
665
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
