Xerox je nedavno zakrpila dvije ozbiljne ranjivosti u svojoj FreeFlow Core platformi za orkestraciju štampanja.
Prema kompaniji Horizon3, koja se bavi penetracionim testiranjem i čiji su istraživači otkrili ove propuste, FreeFlow Core je bio pogođen XXE injection ranjivošću (CVE-2025-8355) i path traversal problemom (CVE-2025-8356).
Istraživači su otkrili da bi ranjivosti mogle omogućiti neautentifikovanom, udaljenom hakeru da izvrši proizvoljan kod na pogođenim FreeFlow Core instancama.
Potencijalni uticaj demonstriran je eksploatom kojim je na ciljnom sistemu postavljen webshell.
FreeFlow Core je dizajniran za automatizaciju prepress radnih tokova i obično ga koriste organizacije sa obimnim potrebama za štampanjem, uključujući univerzitete, kompanije za pakovanje i marketing, pa čak i državne agencije, navodi Horizon3.
„S obzirom na prirodu proizvoda, FreeFlow Core instalacije imaju veliki broj međusobno povezanih komponenti i zahtijevaju relativno otvoren pristup i dostupnost. Kada se to kombinuje sa činjenicom da poslovi štampanja ovog tipa generalno sadrže informacije o marketing kampanjama koje još nisu javne, to ga čini idealnom metom za napadače“, upozorila je bezbjednosna firma.
Ranjivosti su prijavljene Xeroxu u junu, a zakrpe su objavljene 8. avgusta, kada je proizvođač izdao obavještenje kako bi korisnike informisao o dostupnosti ažuriranja. Ispravke su uključene u FreeFlow Core verziju 8.0.5.
Ranije ove godine, istraživači su otkrili ranjivosti u Xerox VersaLink multifunkcionalnim štampačima koje su mogle omogućiti napadačima da dođu do autentifikacionih kredencijala, koji bi se zatim mogli iskoristiti za lateralno kretanje unutar mreže.
Izvor: SecurityWeek