施乐紧急修复两个高危漏洞

转载 于 2025-08-12 18:18:21 发布 · 6 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247523781&idx=2&sn=3822150bbecbbd2b1b8c78685ff064b8&chksm=eb8cda5344b761c5d2e59525b5513af6a943c4a3f377e4536f385ff3d85445b83ce83af0c12c&scene=126&sessionid=0

  聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

施乐 (Xerox) 发布FreeFlow Core的安全更新,修复了两个可导致SSRF和RCE的高危漏洞。这两个漏洞均影响8.0.4版本且已在8.0.5版本中修复,新版本可从 Xerox.com 中获取。

CVE-2025-8355是可导致SSRF的XXE漏洞(CVSS评分7.5),是因为 FreeFlow Core 8.0.4中的XML 输入处理不当造成的。施乐公司表示,“攻击者可构造包含内部URL引用的恶意XML”,诱骗系统将请求发送至内部资源。

这种类型的SSRF漏洞可用于:

  • 侦查内部网络服务

  • 访问受保护系统中的敏感数据

  • 绕过防火墙限制

CVE-2025-8356是RCE的的路径遍历漏洞(CVSS评分 9.8),是源自同样版本中的路径遍历漏洞。攻击者可利用该漏洞“访问服务器上的未授权文件”,从而可能将攻击升级至远程代码执行。

通过该RCE漏洞,威胁人员能够:

  • 在底层服务器上执行任意命令

  • 安装恶意软件或后门

  • 跳转到更深层网络,针对其它系统。

鉴于该漏洞的CVSS评分为9.8,它可对尚未应用补丁的组织机构造成严重风险。施乐公司督促所有客户立即升级至FreeFlow Core 8.0.5版本,缓解这些威胁。客户可从施乐官方网站获取该更新。

开源卫士试用地址:https://oss.qianxin.com/#/login

代码卫士试用地址:https://sast.qianxin.com/#/login

推荐阅读

施乐打印机存在多个漏洞,可导致凭据被盗

施乐悄悄修复影响某些打印机中的严重缺陷

兄弟打印机689个机型的默认管理员密码遭暴露

惠普将在90天内修复这个严重的 LaserJet 打印机漏洞

120款利盟打印机受严重漏洞影响

原文链接

https://securityonline.info/urgent-xerox-freeflow-core-patch-critical-flaws-cvss-9-8-allow-rce-and-ssrf/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

施乐252服务器修复,富士施乐uCentre-IVC2263故障错误代码.pdf
weixin_33836042的博客
08-07 1843
富士施乐uCentre-IVC2263故障错误代码.pdf错误代码错误代码本节介绍错误代码。如果由于错误导致打印异常终⽌,或机器中出现故障,将会显⽰错误信息和错误代码(***-***)。对于传真,错误代码也会显⽰在[通信管理报告]和[发送确认报告-未发送⽂件]上。请参照下表中的错误代码解决相关问题。重要 · 如果显⽰错误代码,则机器上遗留的任何打印数据以及机器内存中保存的信息都⽆法得到保证。...
施乐维修服务器,富士施乐故障维修代码
weixin_28738021的博客
08-04 3825
《富士施乐故障维修代码》由会员分享,可在线阅读,更多相关《富士施乐故障维修代码(27页珍藏版)》请在人人文库网上搜索。1、精选文档施乐故障诊断代码1 维修呼叫程序呼叫流程 2-13002-xxx HDD002-770 作业模板处理-HD 满RAP 2-15003-xxx IPS-ESS 通讯003-318 IIT 软件故障RAP 2-17003-319 IIT 视频驱动程序检测故障RAP 2-17...
施乐打印机存在多个漏洞,可导致凭据被盗
smellycat000的专栏
02-20 702
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Rapid 7公司发现,施乐 (Xerox) VersaLink 多功能打印机中存在两个漏洞 (CVE-2024-12510和CVE-2024-12511), 攻击者通过针对LDAP和SMB/FTP服务的回传攻击,检索认证凭据。这两个漏洞在一站式企业彩色打印机 VersaLink 中发现,目前已修复。简单来说,回传攻击是指打印机被指向认证由攻击者...
施乐悄悄修复影响某些打印机中的严重缺陷
smellycat000的专栏
01-29 708
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士施乐 (Xerox) 修复了某些早在一年半前就已经在某些打印机机型中找到的一个严重漏洞,不过直到本周研究员公开该漏洞才被知晓。该漏洞的编...
富士施乐 DocuCentre-V 3065 打印机远程命令执行漏洞
weixin_43300023的博客
09-28 8461
直接上代码: Exploit Title: FUJI XEROX DocuCentre-V 3065 Printer - Remote Command Execution Date: 2018-09-05 Exploit Author: vr_system Vendor Homepage: https://www.fujixerox.com.cn/ Software Link: https://w...
富士施乐S2110打印机扫描驱动安装方法
chencichang的博客
03-06 6145
富士施乐S2110打印机扫描驱动安装方法
富士施乐 DocuCentre S2110 打印机IP地址设置的两种方法
chencichang的博客
01-06 7528
富士施乐 DocuCentre S2110 打印机IP地址设置的两种方法
施乐服务器显示25,施乐服务器设置
weixin_31813357的博客
08-07 578
施乐服务器设置 内容精选换一换设置“云服务器名称”。名称可自定义,但需符合命名规则:只能由中文字符、英文字母、数字及“_”、“-”、“.”组成。如果同时购买多台弹性云服务器,系统会自动按序增加后缀。一次创建多台弹性云服务器时,系统自动增加后缀,例如:输入ecs,云服务器名称为ecs-0001, ecs-0002,……。再次创建多台云服务器时,命名从上次最大值连续增加,若您的GitLab服务搭建在公...
施乐7556_富士施乐Fuji Xerox WorkCentre 7556 驱动
weixin_39528697的博客
12-22 3074
这是富士施乐Fuji Xerox WorkCentre 7556 驱动,是一款可以有效解决富士施乐Fuji Xerox WorkCentre 7556 在使用过程中出现的一些问题的驱动工具,本站提供了富士施乐Fuji Xerox WorkCentre 7556 驱动下载地址,有需要的朋友们可以前来下载使用。驱动介绍Fuji Xerox WorkCentre 7556是由富士施乐推出的一体机,拥有复...
紧急修复】:富士施乐打印机纸张卡纸问题的快速解决方案
[【紧急修复】:富士施乐打印机纸张卡纸问题的快速解决方案](https://i0.hdslb.com/bfs/article/banner/2d5f2d9b35b995ceaa891ea2026ec89c5f236552.png) # 摘要 富士施乐打印机在使用过程中常常会遇到纸张卡纸等...
富士施乐7855维修手册
10-21
富士施乐7855维修手册是一个非常重要的维修指南,旨在帮助服务人员诊断和修复机器故障、调整部件,并提供用于将产品保持在良好运行状态的信息。维修手册的使用需要遵守一定的规则和标准,以确保设备的安全性和可靠性...
富士施乐7855NVM
10-27
富士施乐7855NVM
施乐 SC 2520 维修手册
01-08
施乐SC 2520维修手册》是专为富士施乐DocuCentre S2520、S2320以及S2011型号设备的维修技术人员准备的专业指南。该手册由Fuji Xerox Co., Ltd.出版,并在2015年2月发行,旨在为产品维护和保养人员提供详细的操作...
施乐风神D95打印机驱动
09-24
在“施乐风神D95打印机驱动”这个主题中,我们主要关注的是如何安装和更新这款打印机的驱动程序,以及驱动程序在打印过程中的作用。驱动程序的安装通常包括以下几个步骤: 1. **下载驱动**:首先,你需要从施乐官方...
springboot尿毒症健康管理系统的设计与实现论文
最新发布
08-12
springboot尿毒症健康管理系统的设计与实现
python 列表文本转表格
08-12
python
关于多视图几何的论文,以及与点云深度学习相关的文章
08-12
资源下载链接为: https://pan.quark.cn/s/a447291460bd 关于多视图几何的论文,以及与点云深度学习相关的文章(最新、最全版本!打开链接下载即可用!)
基于MATLAB Simulink的质子交换膜燃料电池系统模型开发与控制策略仿真
08-12
内容概要:本文详细探讨了质子交换膜燃料电池(PEMFC)系统模型的构建与开发,特别是利用MATLAB Simulink平台进行建模和仿真的方法。文中涵盖了空压机、供气系统(阴极和阳极)、背压阀和电堆四个核心组件的数学模型建立,旨在帮助研究人员更好地理解PEMFC系统的运行机制。此外,还介绍了如何通过调整各组件的关键参数来优化系统的性能,从而为实际应用提供了理论依据和技术支持。 适合人群:从事燃料电池研究的技术人员、高校相关专业师生、新能源领域的科研工作者。 使用场景及目标:适用于希望深入了解PEMFC系统内部运作机制的研究人员,以及需要进行控制系统设计和优化的工程技术人员。目标是掌握MATLAB Simulink建模技巧,提升对PEMFC系统的理解和应用能力。 其他说明:文章不仅提供了详细的模型构建步骤,还包括具体的示例代码和讨论,便于读者实践操作并加深理解。
三菱FX3U与东元TECO N310变频器Modbus通讯实战及触摸屏程序详解
08-12
三菱FX3U PLC通过485ADP-MB板与东元TECO N310变频器进行Modbus通讯的具体实现方法。主要内容涵盖硬件连接、参数设置、PLC编程技巧以及触摸屏程序的设计。文中提供了详细的接线图、参数配置步骤、核心代码片段,并分享了一些实用的经验和避坑指南。此外,还特别强调了终端电阻的作用、波特率一致性、接地线的重要性以及CRC校验的正确使用。 适合人群:从事工业自动化领域的工程师和技术人员,尤其是需要进行PLC与变频器通讯项目的从业者。 使用场景及目标:适用于需要将三菱FX3U PLC与东元TECO N310变频器进行Modbus通讯的实际工程项目。主要目标是帮助工程师快速掌握通讯配置和编程技巧,确保系统稳定可靠地运行。 其他说明:本文不仅提供理论指导,还包括大量实践经验,如硬件接线注意事项、常见错误排查等,有助于提高工作效率并减少调试时间。同时,附带的触摸屏程序也为不同品牌设备间的兼容性提供了保障。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值