Lexmark打印机韧体出现高风险程式码执行漏洞,影响上百款机种
文/林妍溱 | 2023-01-31发表
打印机业者Lexmark本周发布最新版韧体,解决影响上百款机种,可能让骇客远端执行程式码的高风险漏洞。
这项编号CVE-2023-23560漏洞发生在打印机韧体的Web服务功能,属于服务器端请求伪造(server-side request forgery,SSRF)漏洞,成功的攻击可能让骇客从远端执行任意程式码。本项漏洞CVSS 3.1风险值高达9.0。
针对这项漏洞的攻击发生在打印机上,行为可能包括存取打印任务、取得打印机网络的存取凭证,再借机攻击同一网段的其他连网装置。
Lexmark也列出了受影响的机型,包括:CX、XC、MX、MB、C、MS等上百款。厂商表示目前尚未发现有产品漏洞遭到滥用的情形,但是概念验证攻击程式码已经有人公布于网络上。
Lexmark已释出相应的最新版韧体,呼吁用户尽速安装。无法立即更新者则可先关闭打印机(TCP port 65002)的Web Services服务,以暂时缓解攻击风险。路径为“设定”>“网络/连接埠”>“TCP/IP”>“TCP/IP连接埠存取”,取消勾选TCP 65002。
https://ithome.com.tw/news/155300
我还以为利盟早就消失在打印机市场了结果是变成只做企业市场