CUPS — это стандартная система печати с открытым исходным кодом, а `cups-browsed` содержит функциональные возможности сетевой печати, включ…
CUPS — это стандартная система печати с открытым исходным кодом, а `cups-browsed` содержит функциональные возможности сетевой печати, включая, помимо прочего, автоматическое обнаружение служб печати и общих принтеров. `cups-browsed` привязывается к `INADDR_ANY:631`, заставляя его доверять любому пакету из любого источника и может привести к запросу IPP `Get-Printer-Attributes` к URL-адресу, контролируемому злоумышленником. В сочетании с другими уязвимостями, такими как CVE-2024-47076, CVE-2024-47175 и CVE-2024-47177, злоумышленник может удаленно выполнить произвольные команды на целевой машине без аутентификации при печати на вредоносном принтере.
Продукт назначает адрес 0.0.0.0 серверу базы данных, облачному сервису/экземпляру или иному вычислительному ресурсу, взаимодействующему удалённо.
https://cwe.mitre.org/data/definitions/1327.html →Открыть в коллекции CWE →Продукт не выполняет проверку авторизации при попытке субъекта получить доступ к ресурсу или выполнить действие.
https://cwe.mitre.org/data/definitions/862.html →Открыть в коллекции CWE →Продукт устанавливает канал связи для обработки входящего запроса, инициированного субъектом, однако не обеспечивает надлежащей проверки того, что запрос поступает из ожидаемого источника.
https://cwe.mitre.org/data/definitions/940.html →Открыть в коллекции CWE →В приложениях, особенно веб-приложениях, доступ к функциональности ограничивается системой авторизации. Эта система сопоставляет списки контроля доступа (ACL) с элементами функциональности приложения — в частности, с URL-адресами веб-приложений. Если администратор не задал ACL для определённого элемента, злоумышленник может получить к нему доступ безнаказанно. Злоумышленник, способный обращаться к функциональности, не ограниченной ACL должным образом, может получить конфиденциальную информацию и, возможно, скомпрометировать приложение целиком. Такой злоумышленник может обращаться к ресурсам, которые должны быть доступны только пользователям с более высоким уровнем привилегий, получать доступ к административным разделам приложения или выполнять запросы на получение данных, к которым у него не должно быть доступа.
https://capec.mitre.org/data/definitions/1.html →Открыть в коллекции CAPEC →Злоумышленник через ранее установленное вредоносное приложение внедряет код в контекст веб-страницы, отображаемой компонентом WebView. С помощью внедрённого кода злоумышленник способен манипулировать DOM-деревом и cookie-файлами страницы, раскрывать конфиденциальную информацию и запускать атаки на веб-приложение изнутри веб-страницы.
https://capec.mitre.org/data/definitions/500.html →Открыть в коллекции CAPEC →Злоумышленник внедряет трафик в сетевое соединение цели. За счёт этого злоумышленник способен деградировать или прерывать соединение, а также потенциально изменять содержимое передаваемых данных. Данная атака не является флуд-атакой, поскольку злоумышленник не ставит целью исчерпание ресурсов. Вместо этого он формирует специфические входные данные, чтобы воздействовать на систему определённым образом.
https://capec.mitre.org/data/definitions/594.html →Открыть в коллекции CAPEC →В данном шаблоне атаки злоумышленник внедряет пакет сброса соединения в один или оба конца соединения цели. Тем самым злоумышленник может вынудить цель и/или сервер назначения разорвать соединение без необходимости непосредственной фильтрации трафика между ними.
https://capec.mitre.org/data/definitions/595.html →Открыть в коллекции CAPEC →Злоумышленник внедряет один или несколько TCP RST-пакетов к цели после того, как цель выполнила HTTP GET-запрос. Цель атаки — вынудить цель и/или целевой веб-сервер завершить TCP-соединение.
https://capec.mitre.org/data/definitions/596.html →Открыть в коллекции CAPEC →Нет описания в исходных данных.
https://capec.mitre.org/data/definitions/665.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| Отслеживается | ||
| cups-browsed | Отслеживается | |
| cups-filters | Отслеживается | |
| cups-filters | Отслеживается | |
| cups-filters | Отслеживается | |
| cups-filters | Отслеживается | |
| cups-filters | Отслеживается | |
| cups-filters | Отслеживается | |
| cups-filters | Отслеживается | |
| cups-filters | Отслеживается | |
| cups-filters | Отслеживается | |
| cups-filters | Отслеживается | |
| cups-filters | Отслеживается | |
| cups-filters | Отслеживается | |
| cups-filters | Отслеживается | |
| cups-filters | Отслеживается | |
| cups-filters | Отслеживается | |
| cups-filters | Отслеживается | |
| cups-filters | Отслеживается | |
| cups-filters | Отслеживается |