惠普修復 Inkjet 印表機中嚴重的 RCE 漏洞

GIF

聚焦源代碼安全，網羅國內外最新資訊！

翻譯：360代碼衛士團隊

惠普為多款噴墨印表機發布固件更新，修復多個可被用於遠程代碼執行的嚴重漏洞。

惠普產品安全響應小組 (PSRT) 稱，通過向受影響設備發送特殊構造的文件，攻擊者就能利用漏洞觸發堆棧或靜態緩衝溢出並執行任意代碼，Inkjet 印表機易受這些漏洞的影響。

漏洞編號是 CVE-2018-5924 和 CVE-2018-5925，CVSS 評分均為 9.8。

惠普發布了由約160款受影響產品組成的清單。這些產品包括 PageWide、DesignJet、Officejet、Deskjet、Envy 以及 Photosmart 設備。惠普網站為每款受影響產品發布了固件更新。

這並非惠普印表機中首次出現遠程代碼執行漏洞。去年，攻擊者從惠普的某些企業印表機中發現了多個潛在的嚴重漏洞，包括影響 LaserJet Enterprise、PageWide Enterprise、LaserJet Managed 和 OfficeJet Enterprise 印表機的一個 RCE 漏洞。

最近，惠普推出一項私有漏洞獎勵計劃，如在印表機中找到嚴重漏洞，則可獲得最多1萬美元的獎勵。惠普已邀請34名研究人員參與該計劃。該漏洞獎勵計劃涵蓋的產品包括 LaserJet Enterprise 印表機和 MFPs （A3和A4）以及 PageWide Enterprise印表機以及 MFPs （A3和 A4）。

https://www.securityweek.com/hp-patches-critical-rce-flaws-inkjet-printers

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！