圖片來源: 

Lexmark

印表機業者Lexmark本周發布最新版韌體,解決影響上百款機種,可能讓駭客遠端執行程式碼的高風險漏洞。

這項編號CVE-2023-23560漏洞發生在印表機韌體的Web服務功能,屬於伺服器端請求偽造(server-side request forgery,SSRF)漏洞,成功的攻擊可能讓駭客從遠端執行任意程式碼。本項漏洞CVSS 3.1風險值高達9.0。

針對這項漏洞的攻擊發生在印表機上,行為可能包括存取列印任務、取得印表機網路的存取憑證,再藉機攻擊同一網段的其他連網裝置。

Lexmark也列出了受影響的機型,包括:CX、XC、MX、MB、C、MS等上百款。廠商表示目前尚未發現有產品漏洞遭到濫用的情形,但是概念驗證攻擊程式碼已經有人公布於網路上。

Lexmark已釋出相應的最新版韌體,呼籲用戶儘速安裝。無法立即更新者則可先關閉印表機(TCP port 65002)的Web Services服務,以暫時緩解攻擊風險。路徑為「設定」>「網路/連接埠」>「TCP/IP」>「TCP/IP連接埠存取」,取消勾選TCP 65002。

熱門新聞

Advertisement