W oprogramowaniu HP Linux Imaging and Printing (HPLIP) wykryto krytyczną podatność polegającą na przepełnieniu liczby całkowitej (integer overflow) w ścieżce przetwarzania danych przez komponent hpcups. Umożliwia ona zdalnemu, nieuwierzytelnionemu atakującemu eskalację uprawnień oraz wykonanie dowolnego kodu.
▸ Pokaż oryginał (EN)
A potential security vulnerability has been identified in the HP Linux Imaging and Printing Software. This potential vulnerability may allow escalation of privileges and/or arbitrary code execution via an integer overflow in the hpcups processing path when handling crafted print data.
Podatność wynika z błędu integer overflow (CWE-190) w komponencie hpcups odpowiedzialnym za przetwarzanie danych wydruku, co prowadzi do przepełnienia bufora sterty (heap-based buffer overflow, CWE-122). Atakujący może przesłać specjalnie spreparowane dane wydruku, które wywołują nieprawidłowe obliczenia rozmiaru bufora, skutkując zapisem poza jego granicami. Wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji ze strony użytkownika, co znacznie zwiększa ryzyko wykorzystania podatności.
Skuteczne wykorzystanie podatności może pozwolić atakującemu na eskalację uprawnień w systemie oraz wykonanie dowolnego kodu (RCE) w kontekście procesu obsługującego drukowanie.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (biuletyn bezpieczeństwa HP HPSBPI04118). Zaleca się monitorowanie oficjalnego kanału wsparcia HP pod adresem https://support.hp.com/us-en/document/ish_14942099-14942126-16/hpsbpi04118 w celu uzyskania zaktualizowanych wersji oprogramowania HPLIP.
HP Linux Imaging and Printing Software (HPLIP) — dokładne wersje wskazane w referencjach producenta (https://support.hp.com/us-en/document/ish_14942099-14942126-16/hpsbpi04118)
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XHP Linux Imaging And Printing
APPHp< 3.26.4
Powiązane podatności
A potential security vulnerability has been identified in the HP Linux Imaging and Printing Software. This pot...
The hp-plugin utility in HP Linux Imaging and Printing (HPLIP) makes it easier for man-in-the-middle attackers...
A potential security vulnerability has been identified in the HP Linux Imaging and Printing Software documenta...
The Jakarta Multipart parser in Apache Struts 2 2.3.x before 2.3.32 and 2.5.x before 2.5.10.1 has incorrect ex...
Heap-based buffer overflow in Adobe Flash Player before 13.0.0.296 and 14.x through 18.x before 18.0.0.194 on ...