Introducción
HP ha notificado 4 vulnerabilidades de severidad alta que podrían provocar un desbordamiento de búfer, ejecución remota de código, divulgación de información o denegación de servicio.
Análisis
Un atacante que explotase las 4 vulnerabilidades detectadas, podría provocar un desbordamiento del búfer, ejecución remota de código, divulgación de información o denegación de servicio. Las 4 vulnerabilidades han recibido una puntuación CVSS de 8.8, y se les han asignado los siguientes identificadores:
CVE-2023-35175: Ciertos productos de impresión HP LaserJet Pro son potencialmente vulnerables a la posible ejecución remota de código y/o elevación de privilegios a través de la falsificación de solicitudes del lado del servidor (SSRF) utilizando el modelo Web Service Eventing.
CVE-2023-35176: Algunos productos de impresión HP LaserJet Pro son potencialmente vulnerables al desbordamiento del búfer y/o a la denegación de servicio al utilizar la función de copia de seguridad y restauración a través del servicio web integrado en el dispositivo.
CVE-2023-35177: Ciertos productos de impresión HP LaserJet Pro son potencialmente vulnerables a un desbordamiento de búfer basado en pila relacionado con el analizador de formato de fuente compacta.
CVE-2023-35178: Ciertos productos de impresión HP LaserJet Pro son potencialmente vulnerables al desbordamiento del búfer al realizar una solicitud GET para escanear trabajos.
Versiones afectadas:
- Impresora multifunción HP Color LaserJet serie M478-M479
- Serie HP Color LaserJet Pro M453-M454
- Serie de impresoras HP LaserJet Pro M304-M305
- Serie de impresoras HP LaserJet Pro M404-M405
- HP LaserJet Pro MFP M428-M429 serie f
- Impresora multifunción HP LaserJet Pro serie M428-M429
Recomendaciones
Instale la última versión del firmware [5] en la que HP ha corregido estas vulnerabilidades.
No se han encontrado soluciones alternativas o workarounds.
Referencias