Impatto Sistemico

Medio (59.74)

Sintesi

Rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2023–2533 – già sanata dal vendor a giugno 2023 – presente in PaperCut NG/MF, soluzione software per la gestione e il controllo delle stampe.

Tipologia

• Remote Code Execution
• Tampering

Descrizione

Rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2023–2533 – già sanata dal vendor a giugno 2023 – presente in PaperCut NG/MF, soluzione software per la gestione e il controllo delle stampe.

Tale vulnerabilità, di tipo “ Cross-Site Request Forgery ” e con score CVSS v3.1 pari a 8.8, potrebbe essere sfruttata da un utente malintenzionato remoto inducendo un amministratore, con sessione attiva sull’interfaccia di amministrazione di PaperCut, a cliccare su un link malevolo opportunamente predisposto. In caso di sfruttamento andato a buon fine, l’utente malintenzionato riuscirebbe ad alterare le configurazioni di sicurezza ed eseguire codice arbitrario sui sistemi interessati.

Per eventuali ulteriori approfondimenti si consiglia di consultare il bollettino di sicurezza , disponibile nella sezione Riferimenti.

Prodotti e versioni affette

PaperCut MF e PaperCut NG

• versioni precedenti alla 20.1.8
• 21.x, versioni precedenti alla 21.2.12
• 22.x, versioni precedenti alla 22.1.1

Azioni di mitigazione

Ove non già provveduto, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.