PT-2022-16791 · Canon · Canon Imageclass Mf644Cdw
Jean-Romain Garnier
+3
·
Publicado
2022-03-18
·
Atualizado
2023-04-03
·
CVE-2022-24674
CVSS v3.1
8.8
Alta
| Vetor | AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Canon imageCLASS MF644Cdw versão 10.02
Descrição
Esta vulnerabilidade permite que invasores na rede adjacente executem código arbitrário nas instalações afetadas. Não é necessária autenticação para explorar esta vulnerabilidade. A falha específica existe na API privet, resultante da falta de validação adequada do comprimento dos dados fornecidos pelo usuário antes de copiá-los para um buffer baseado em pilha de comprimento fixo. Um invasor pode aproveitar esta vulnerabilidade para executar código no contexto do root.
Recomendações
Para a Canon imageCLASS MF644Cdw versão 10.02, como solução alternativa temporária, considere desativar a API privet até que um patch esteja disponível. Restrinja o acesso à API vulnerável para minimizar o risco de exploração. Evite usar dados fornecidos pelo usuário no endpoint da API afetada até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Correção
Memory Corruption
Stack Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Canon Imageclass Mf644Cdw