Trung tuần tháng 1/2023, Lexmark phát hành bản vá cho lỗ hổng nghiêm trọng có thể cho phép thực thi mã từ xa (RCE) trên hơn 100 mẫu máy in.
Lỗ hổng định danh CVE-2023-23560 có điểm CVSS 9,0. Đây là lỗi giả mạo yêu cầu máy chủ trong tính năng dịch vụ web của các thiết bị Lexmark.
Hãng cho biết, lỗ hổng này có thể bị lạm dụng để thực thi mã tùy ý trên thiết bị, gây ảnh hưởng lớn trong phạm vi một tổ chức.
Hiện tại chưa có dấu hiệu lỗ hổng này bị khai thác. Tuy nhiên mã khai thác đã được công bố nên người dùng cần cập nhật bản vá mà Lexmark cung cấp.
Theo Lexmark, hơn 100 mẫu máy in sẽ bị ảnh hưởng nếu chạy bản phát hành firmware tồn tại lỗ hổng. Người dùng nên kiểm tra và đảm bảo phiên bản firmware trùng khớp với bản cập nhật có bản vá.
Trong bối cảnh in ấn thực tế, lỗ hổng SSRF CVE-2023-23560 có thể cho phép kẻ tấn công truy cập lệnh in, lấy thông tin đăng nhập trong mạng mà máy in đang kết nối và chuyển hướng sang các thiết bị khác trên cùng phân đoạn mạng.