多款Xerox产品操作系统命令注入漏洞

漏洞介绍

Xerox WorkCentre 3655等都是美国施乐（Xerox）公司的一款多功能打印机。

多款Xerox产品中存在安全漏洞，该漏洞源于在support/remoteUI/configrui.php文件中程序没有正确转义参数。攻击者可利用该漏洞执行操作系统命令。以下产品及版本受到影响：Xerox WorkCentre 3655 073.xxx.086.15410之前版本；3655i 073.xxx.086.15410之前版本；58XX 073.xxx.086.15410之前版本；58XXi 073.xxx.086.15410之前版本；59XX 073.xxx.086.15410之前版本；59XXi 073.xxx.086.15410之前版本；6655 073.xxx.086.15410之前版本；6655i 073.xxx.086.15410之前版本；72XX 073.xxx.086.15410之前版本；72XXi 073.xxx.086.15410之前版本；78XX 073.xxx.086.15410之前版本；78XXi 073.xxx.086.15410之前版本；7970 073.xxx.086.15410之前版本；7970i 073.xxx.086.15410之前版本。

漏洞补丁

目前厂商已发布升级了多款Xerox产品操作系统命令注入漏洞的补丁，多款Xerox产品操作系统命令注入漏洞的补丁获取链接：

https://securitydocs.business.xerox.com/wp-content/uploads/2016/10/cert_Mini_Security_Bulletin_XRX16Q_for_ConnectKey_R16-05_v1-1-2.pdf

参考网址

来源:MISC

链接：https://securitydocs.business.xerox.com/wp-content/uploads/2016/10/cert_Mini_Security_Bulletin_XRX16Q_for_ConnectKey_R16-05_v1-1-2.pdf

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202004-2428