Поделиться
Два «бага» в платформе автоматизации печати Xerox грозят запуском произвольного кода. Один из них критический
Серьезную угрозу представляют обе уязвимости, но одна из них является почти максимально критической. Требуется срочно установить обновления.
Критический дуэт
Компания Xerox устранила две серьезные уязвимости в своей платформе FreeFlow Core, отслеживаемые как CVE-2025-8355 и CVE-2025-8356 соответственно.
FreeFlow Core - это платформа автоматизации печати и управления рабочими процессами, которая помогает поставщикам услуг печати и внутренним типографиям оптимизировать и автоматизировать задачи допечатной подготовки перед отправкой заданий на производственные типографии.
Первая уязвимость сравнительно экзотична: это внедрение внешних сущностей XML (CVE-2025-8355), также известная как XXE-инъекция (или внедрение XXE). Это тип атаки на приложение, которое осуществляет анализ вводимых XML-данных: потенциальный злоумышленник может внедрять посторонние данные, что открывает ему возможности для дальнейшего развития атаки.
Обнаружившие обе уязвимости исследователи фирмы Horizon3, отметили, что причиной возникновения уязвимости CVE-2025-8355 оказывается некорректная очистка XML-ввода, из чего, в свою очередь, проистекает возможность подмены серверного запроса (SSRF-атаки).
Но, изучая этот «баг», специалисты выявили второй, который, по их мнению, представляет значительно большую угрозу. CVE-2025-8356 (path traversal - «обход пути»), уязвимость, которая затрагивает алгоритмы обработки файлов в FreeFlow Core, обеспечивает потенциальному злоумышленнику доступ к файлам, которые по идее должны быть для него недоступны. Издание Security Affairs указывает, что второй «баг» позволяет «размещать веб-шелл в общедоступных локациях», а в комбинации - открывают возможность для запуска вредоносного кода через команды JMF, и развивать атаки через веб-порталы.
Как следствие, злоумышленник может запускать произвольные команды в системе или даже запускать произвольный код.
CVE-2025-8355 получила оценку 7,5 балла (высокоопасный диапазон), в то время как CVE-2025-8356 - 9,8 балла из 10 возможных.
Типографиям стоит принять срочные меры
«FreeFlow Core... используют в коммерческих типографиях, например, в компаниях, занимающихся упаковкой и маркетингом, университетах, государственных учреждениях и других организациях, которым требуется распечатывать большое количество полиграфии», - написали исследователи. - «Учитывая природу продукта, у инсталляций FreeFlow Core много «движущихся частей» и они требуют относительно открытого доступа и доступности; в сочетании с тем фактом, что задания на печать такого рода обычно содержат предварительную информацию о маркетинговых кампаниях, делает их идеальной целью для злоумышленников».
«Даже притом, что вторая уязвимость представляется почти максимально критической, наибольшую опасность представляет их комбинация», - указывает Никита Павлов, эксперт по информационной безопасности компании SEQ. «Успешная эксплуатация позволит не только захватить контроль над оборудованием, но и, потенциально, распространить вредоносы на множество других конечных точек».
Xerox внес соответствующие исправления в версии FreeFlow Core 8.0.5. Их следует установить как можно скорее.
Поделиться
Короткая ссылка
