Более 150 моделей принтеров Lexmark нуждаются в обновлении прошивки из-за выявленных четырех критических уязвимостей для удаленного выполнения кода (RCE).
Баги были обнаружены через программу Zero Day Initiative (ZDI) Trend Micro, среди заслуживающих упоминания лиц такие как Сина Хейрха из Summoning Team; Крис Анастасио; члены команды PHPHooligans Рик Де Йагер, Карло Мейер и Джонатан Ягт; и команда Viettel.
CVE-2023-50737 [pdf] – это баг в меню SE, которое, по словам Lexmark, “содержит информацию, используемую Lexmark для диагностики ошибок устройства”.
Одна из рабочих процедур меню может быть использована для запуска произвольного кода, заявлено в тексте консультации, и уязвимость имеет критический балл CVSS 9.1.
Lexmark сказал, что меню SE должно быть доступно только доверенным пользователям.
Уязвимые принтеры также имеют три уязвимости в своих интерпретаторах PostScript: CVE-2023-50736 [pdf], CVE-2023-50735 [pdf], и CVE-2023-50734 [pdf], все они имеют критический балл CVSS 9.0.
Уязвимости в PostScript не имеют обходных путей; требуются обновления прошивки.
Оригинальная новость на сайте
/cloudfront-us-east-2.images.arcpublishing.com/reuters/L3A2GK4E2BNWTIZYEGG5R2Y4AI.jpg "Малайзия стремится привлечь иностранные инвестиции в электромобили и производство микросхем – заявил министр торговли")
