惠普修复 Inkjet 打印机中严重的 RCE 漏洞

翻译：360代码卫士团队

惠普为多款喷墨打印机发布固件更新，修复多个可被用于远程代码执行的严重漏洞。

惠普产品安全响应小组 (PSRT) 称，通过向受影响设备发送特殊构造的文件，攻击者就能利用漏洞触发堆栈或静态缓冲溢出并执行任意代码，Inkjet 打印机易受这些漏洞的影响。

漏洞编号是 CVE-2018-5924 和 CVE-2018-5925，CVSS 评分均为 9.8。

惠普发布了由约160款受影响产品组成的清单。这些产品包括 PageWide、DesignJet、Officejet、Deskjet、Envy 以及 Photosmart 设备。惠普网站为每款受影响产品发布了固件更新。

这并非惠普打印机中首次出现远程代码执行漏洞。去年，攻击者从惠普的某些企业打印机中发现了多个潜在的严重漏洞，包括影响 LaserJet Enterprise、PageWide Enterprise、LaserJet Managed 和 OfficeJet Enterprise 打印机的一个 RCE 漏洞。

最近，惠普推出一项私有漏洞奖励计划，如在打印机中找到严重漏洞，则可获得最多1万美元的奖励。惠普已邀请34名研究人员参与该计划。该漏洞奖励计划涵盖的产品包括 LaserJet Enterprise 打印机和 MFPs （A3和A4）以及 PageWide Enterprise打印机以及 MFPs （A3和 A4）。

原文链接

https://www.securityweek.com/hp-patches-critical-rce-flaws-inkjet-printers

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。