Istraživači kibernetičke sigurnosti otkrili su novu ozbiljnu sigurnosnu grešku u softveru za upravljanje ispisom PaperCut za Windows koji bi mogao rezultirati daljinskim izvršavanjem koda pod određenim okolnostima.
Praćen kao CVE-2023-39143 (CVSS rezultat: 8,4), nedostatak utiče na PaperCut NG/MF prije verzije 22.1.3. Opisana je kao kombinacija ranjivosti prelaska putanje i prijenosa datoteka.
“CVE-2023-39143 omogućava neautorizovanim hakerima da potencijalno čitaju, brišu i uploaduju proizvoljne datoteke na server aplikacija PaperCut MF/NG, što rezultira daljinskim izvršavanjem koda u određenim konfiguracijama”, rekao je Naveen Sunkavally iz Horizon3.ai .
Firma za kiber sigurnost je rekla da je otpremanje datoteka koje vodi do daljinskog izvršavanja koda moguće kada je omogućena postavka integracije eksternog uređaja, što je podrazumevano uključeno u nekim instalacijama PaperCuta.
Ranije ovog aprila, još jedna ranjivost daljinskog izvršavanja koda u istom proizvodu (CVE-2023-27350, CVSS rezultat: 9,8) i greška u otkrivanju informacija (CVE-2023–27351) bili su pod široko rasprostranjenom eksploatacijom u divljini za isporuku Cobalt Strike-a i ransomware – a . Hakeri iranske nacionalne države također su primijećeni kako zloupotrebljavaju greške kako bi dobili početni pristup ciljnim mrežama.
„U poređenju sa CVE-2023-27350, CVE-2023-39143 takođe ne zahteva od hakera da imaju bilo kakve prethodne privilegije za eksploataciju i nije potrebna nikakva interakcija korisnika,“ primetio je Sunkavally. “CVE-2023-39143 je složeniji za eksploataciju, uključuje više problema koji moraju biti povezani zajedno da bi se kompromitovao server. To nije ‘jednokratna’ RCE ranjivost.”
PaperCut u verziji 22.1.3 također je otklonio sigurnosni propust koji bi mogao omogućiti neautoriziranom hakeru s direktnim IP pristupom serveru da otpremi proizvoljne datoteke u ciljni direktorij, što dovodi do potencijalnog uskraćivanja usluge (CVE-2023-3486, CVSS skor: 7,4). Tenable je zaslužan za otkrivanje i prijavljivanje problema.
Izvor: The Hacker News