CRITICAL🇬🇧 English

CVE-2025-65078

Podatność untrusted search path (CWE-426) w Lexmark Embedded Solutions Framework — RCE

CVSS 9.3v4.0pub. 2026-02-03upd. 2026-04-15

W komponencie Embedded Solutions Framework obecnym w różnych urządzeniach Lexmark zidentyfikowano podatność typu untrusted search path. Umożliwia ona zdalnemu atakującemu wykonanie dowolnego kodu bez uwierzytelnienia, co czyni ją zagrożeniem krytycznym.

Pokaż oryginał (EN)

An untrusted search path vulnerability has been identified in the Embedded Solutions Framework in various Lexmark devices. This vulnerability can be leveraged by an attacker to execute arbitrary code.

🤖 Analiza AI
Jak działa

Podatność klasy untrusted search path (CWE-426) polega na tym, że aplikacja lub usługa poszukuje i ładuje zasoby (np. biblioteki, pliki wykonywalne) ze ścieżki, która może być kontrolowana lub zmanipulowana przez atakującego. W przypadku urządzeń Lexmark komponent Embedded Solutions Framework nieprawidłowo weryfikuje źródło ładowanych zasobów. Atakujący może podrzucić złośliwy plik lub bibliotekę w lokalizacji przeszukiwanej przez framework, co prowadzi do wykonania dostarczonego przez niego kodu w kontekście docelowego urządzenia.

Skutki

Atakujący może wykonać dowolny kod na podatnym urządzeniu Lexmark bez konieczności posiadania jakichkolwiek uprawnień, co potencjalnie prowadzi do pełnego przejęcia kontroli nad urządzeniem, wycieku danych lub zakłócenia jego działania.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi na stronie Lexmark Security Advisories (https://www.lexmark.com/en_us/solutions/security/lexmark-security-advisories.html)

Kogo dotyczy

Różne urządzenia Lexmark wyposażone w komponent Embedded Solutions Framework — dokładna lista modeli wskazana w referencjach producenta

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje