日前,制造商警告说,一个允许远程代码执行 (RCE) 的严重安全漏洞影响了120多种不同的Lexmark打印机型号。
据悉,该漏洞(CVE-2023-23560) 在 CVSS 漏洞严重性等级中得分为9分(满分10分),是“较新 Lexmark 设备的 Web 服务功能”中的服务器端请求伪造 (SSRF) 漏洞。
这些打印机有一个嵌入式 Web 服务器,允许用户通过 Internet 门户查看和远程配置打印机设置。在典型的 SSRF 攻击中,攻击者可以接管此类服务器并强制其连接到包含敏感信息的内部资源;或服务于恶意软件的外部系统(或获取令牌和凭证等信息)。[阅读原文]