W komponencie Embedded Solutions Framework obecnym w różnych urządzeniach Lexmark zidentyfikowano podatność typu untrusted search path. Umożliwia ona zdalnemu atakującemu wykonanie dowolnego kodu bez uwierzytelnienia, co czyni ją zagrożeniem krytycznym.
▸ Pokaż oryginał (EN)
An untrusted search path vulnerability has been identified in the Embedded Solutions Framework in various Lexmark devices. This vulnerability can be leveraged by an attacker to execute arbitrary code.
Podatność klasy untrusted search path (CWE-426) polega na tym, że aplikacja lub usługa poszukuje i ładuje zasoby (np. biblioteki, pliki wykonywalne) ze ścieżki, która może być kontrolowana lub zmanipulowana przez atakującego. W przypadku urządzeń Lexmark komponent Embedded Solutions Framework nieprawidłowo weryfikuje źródło ładowanych zasobów. Atakujący może podrzucić złośliwy plik lub bibliotekę w lokalizacji przeszukiwanej przez framework, co prowadzi do wykonania dostarczonego przez niego kodu w kontekście docelowego urządzenia.
Atakujący może wykonać dowolny kod na podatnym urządzeniu Lexmark bez konieczności posiadania jakichkolwiek uprawnień, co potencjalnie prowadzi do pełnego przejęcia kontroli nad urządzeniem, wycieku danych lub zakłócenia jego działania.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi na stronie Lexmark Security Advisories (https://www.lexmark.com/en_us/solutions/security/lexmark-security-advisories.html)
Różne urządzenia Lexmark wyposażone w komponent Embedded Solutions Framework — dokładna lista modeli wskazana w referencjach producenta
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X