惠普在本周发布的企业一份安全公告显示,该公司修复某些影响企业级打印机固件的安全安全漏洞最多需要 90 天。
这枚安全漏洞编号 CVE-2023-1707,惠普CVSS 评分为 9.1 分 / 10 分,多款打印但惠影响约 50 种 HP Enterprise LaserJet 和 HP LaserJet Managed Printers 打印机,机存该漏洞可能会导致企业内部信息遭到泄露。高危
漏洞得分比较高不过要利用也不简单,漏洞漏洞蓝点受影响的普久打印机必须运行的是 FutureSmart 5.6 版固件并且要启用 IPsec 协议,然后通过电子邮件或 SharePoint 分享时才可能会泄露数据。修复
短时间内惠普搞不定这个漏洞,企业惠普的安全推荐是企业降级到不受影响的固件,例如 FutureSmart 5.5.0.3,惠普待惠普 90 天内发布新固件后再升级。多款打印但惠
BleepingComputer 联系惠普获得惠普的机存回复,惠普表示这个漏洞暴露的高危时间非常短,是 2023 年 2 月中旬发现的,并且仅存在特定版本的固件中,客户已经无法下载存在漏洞的版本,同时惠普也没发现任何利用该漏洞发起的攻击。
以下是受影响的 HP 打印机型号:
- HP Color LaserJet Enterprise M455
- HP Color LaserJet Enterprise MFP M480
- HP Color LaserJet Managed E45028
- HP Color LaserJet Managed MFP E47528
- HP Color LaserJet Managed MFP E785dn、MFP E78523、E78528
- HP Color LaserJet Managed MFP E786、HP Color LaserJet Managed Flow MFP E786、HP Color LaserJet Managed MFP E78625/30/35、HP Color LaserJet Managed Flow MFP E78625/30/35
- HP Color LaserJet Managed MFP E877、E87740/50/60/70、HP Color LaserJet Managed Flow E87740/50/60/70
- HP LaserJet Enterprise M406
- HP LaserJet Enterprise M407
- HP LaserJet Enterprise MFP M430
- HP LaserJet Enterprise MFP M431
- HP LaserJet Managed E40040
- HP LaserJet Managed MFP E42540
- HP LaserJet Managed MFP E730、HP LaserJet Managed MFP E73025、E73030
- HP LaserJet Managed MFP E731、HP LaserJet Managed Flow MFP M731、HP LaserJet Managed MFP E73130/35/40、HP LaserJet Managed Flow MFP E73130/35/40
- HP LaserJet Managed MFP E826dn、HP LaserJet Managed Flow MFP E826z、HP LaserJet Managed E82650/60/70、HP LaserJet Managed E82650/60/70
