Se ha reportado un nuevo aviso de seguridad sobre cuatro vulnerabilidades que afectan a impresoras HP LaserJet Pro, que permitirían a un atacante realizar ataques del tipo buffer overflow, divulgación de información, denegación de servicios (DoS), entre otros.
Las vulnerabilidades reportadas se componen de 4 (cuatro) de severidad “Alta”. Las mismas se detallan a continuación:
- CVE-2023-35175, de severidad “Alta”, con puntuación asignada de 8.8. Esta vulnerabilidad del tipo server-side request forgery (SSRF) se debe a una falla de validación de entradas del usuario en el modelo de eventos de servicio web en HP LaserJet Pro. Esto permitiría a un atacante realizar una posible ejecución remota de código (RCE) o escalamiento de privilegios en el sistema afectado.
- CVE-2023-35176, de severidad “Alta”, con puntuación asignada de 8.8. Esta vulnerabilidad se debe a una falla de seguridad en la función de copia de seguridad y restauración del servicio web integrado de HP LaserJet Pro. Esto permitiría a un atacante a través de la función de copia de seguridad y restauración de los dispositivos afectados, realizar un ataque del tipo buffer overflow o denegación de servicios (DoS) en dichos dispositivos.
- CVE-2023-35177, de severidad “Alta”, con puntuación asignada de 8.8. Esta vulnerabilidad se debe a una falla de seguridad en el analizador de formato de fuentes en HP LaserJet Pro. Esto permitiría a un atacante provocar un ataque del tipo buffer overflow basado en pila o denegación de servicios (DoS) en el sistema afectado.
- CVE-2023-35178, de severidad “Alta”, con puntuación asignada de 8.8. Esta vulnerabilidad se debe a una falla de seguridad al realizar una solicitud GET a los trabajos de escaneo en HP LaserJet Pro. Esto permitiría a un atacante provocar un ataque del tipo buffer overflow o denegación de servicios (DoS) en el sistema afectado.
Los productos afectados son:
- HP Color LaserJet MFP M478-M479 series, modelos: W1A75A, W1A76A, W1A77A, W1A81A, W1A82A, W1A79A, W1A80A y W1A78A .
- HP Color LaserJet Pro M453-M454 series, modelos W1Y40A, W1Y41A, W1Y46A, W1Y47A, W1Y44A, W1Y45A y W1Y43A.
- HP LaserJet Pro M304-M305 Printer series, modelos W1A66A, W1A46A, W1A47A y W1A48A.
- HP LaserJet Pro M404-M405 Printer series, modelos W1A51A, W1A53A, W1A56A, W1A63A, W1A52A, 93M22A, W1A58A, W1A59A, W1A60A y W1A57A.
- HP LaserJet Pro MFP M428-M429 f series, modelos W1A29A, W1A32A, W1A30A, W1A38A, W1A34A y W1A35A.
- HP LaserJet Pro MFP M428-M429 series, modelos W1A28A, W1A31A y W1A33A.
Recomendamos acceder a la actualización del firmware a la versión 002_2322C o superiores en el siguiente enlace:
Referencias:
- https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-laserjet-pro-de-hp
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-35175
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-35176
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-35177
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-35178
- https://support.hp.com/us-en/document/ish_8651729-8651769-16/hpsbpi03854
- https://support.hp.com/us-en/document/ish_8651888-8651916-16/hpsbpi03853
- https://support.hp.com/us-en/document/ish_8651671-8651697-16/hpsbpi03852
- https://support.hp.com/us-en/document/ish_8651322-8651446-16/hpsbpi03851
- https://support.hp.com/us-en/drivers