ГлавнаяБаза уязвимостей БДУ → BDU:2023-02273
10критическая

BDU:2023-02273

Уязвимость класса SetupCompleted программных средств контроля за печатью в сети PaperCut MF и PaperCut NG, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2023-04-27
Описание

Уязвимость класса SetupCompleted программных средств контроля за печатью в сети PaperCut MF и PaperCut NG связана с ошибками при управлении доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код в контексте SYSTEM

Затрагиваемое ПО и версии
PaperCut NG (с 8.0.0 по 19.2.7 включительно)PaperCut NG (с 20.0.0 по 20.1.6 включительно)PaperCut NG (с 21.0.0 по 21.2.10 включительно)PaperCut NG (с 22.0.0 по 22.0.8 включительно)PaperCut MF (с 22.0.0 по 22.0.8 включительно)PaperCut MF (с 21.0.0 по 21.2.10 включительно)PaperCut MF (с 20.0.0 по 20.1.6 включительно)PaperCut MF (с 8.0.0 по 19.2.7 включительно)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- блокирование входящего трафика с внешних IP-адресов на порты веб-управления (9191 и 9192);
- использование средств межсетевого экранирования для ограничения удалённого доступа к серверу;
- применение ограничения «Список разрешений» в разделе «Параметры»> «Дополнительно»> «Безопасность»> «Разрешенные IP-адреса серверов сайта» для разрешения доступа только с доверенных IP-адресов.

Использование рекомендаций производителя:
https://www.papercut.com/kb/Main/PO-1216-and-PO-1219#product-status-and-next-steps

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://www.papercut.com/kb/Main/PO-1216-and-PO-1219#product-status-and-next-stepshttps://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv
Проверьте безопасность своего сайта и почты → Полная проверка домена