Некоторые устройства Lexmark (например, CS310) до 2023-08-25 допускают XXE-атаки, приводящие к раскрытию информации. Исправленная версия ми…
Некоторые устройства Lexmark (например, CS310) до 2023-08-25 допускают XXE-атаки, приводящие к раскрытию информации. Исправленная версия микропрограммы — LW80.*.P246, т. е. '*' указывает, что полная спецификация версии варьируется в зависимости от семейства моделей продукта, но для устранения уязвимости требуется уровень микропрограммы P246 (или выше).
Продукт обрабатывает XML-документ, который может содержать XML-сущности с URI, разрешающимися в документы за пределами предусмотренной сферы контроля, из-за чего продукт включает некорректные документы в свой вывод.
https://cwe.mitre.org/data/definitions/611.html →Открыть в коллекции CWE →Данная атака использует свойство замены сущностей в ряде языков сериализации данных (например, XML, YAML и т. д.), при котором значением замены является URI. Специально сформированный файл может содержать ссылку на URI, потребление которого требует значительных ресурсов, что создаёт условие отказа в обслуживании. Это может привести к зависанию, аварийному завершению системы или выполнению произвольного кода в зависимости от URI.
https://capec.mitre.org/data/definitions/221.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| c2132_firmware | * | Отслеживается |
| cs310_firmware | * | Отслеживается |
| cs317_firmware | * | Отслеживается |
| cs410_firmware | * | Отслеживается |
| cs417_firmware | * | Отслеживается |
| cs510_firmware | * | Отслеживается |
| cs517_firmware | * | Отслеживается |
| cx310_firmware | * | Отслеживается |
| cx317_firmware | * | Отслеживается |
| cx410_firmware | * | Отслеживается |
| cx417_firmware | * | Отслеживается |
| cx510_firmware | * | Отслеживается |
| cx517_firmware | * | Отслеживается |
| m1140+_firmware | * | Отслеживается |
| m1140_firmware | * | Отслеживается |
| m1145_firmware | * | Отслеживается |
| m3150de_firmware | * | Отслеживается |
| m3150dn_firmware | * | Отслеживается |
| m5155_firmware | * | Отслеживается |
| m5163de_firmware | * | Отслеживается |