PT-2022-17225 · Kyocera · Kyocera D-Color Mf3555

Luca Carbone

Publicado

2022-04-20

Atualizado

2022-05-12

CVE-2022-25343

CVSS v2.0

7.8

Alta

Vetor

AV:N/AC:L/Au:N/C:N/I:N/A:C

Nome do software vulnerável e versões afetadas

Kyocera d-COLOR MF3555 versão 2XD S000.002.271

Descrição

O aplicativo web está afetado por uma vulnerabilidade de negação de serviço. Um invasor não autenticado pode enviar solicitações POST para a página “/download/set.cgi” manipulando a variável failhtmfile, causando a interrupção do serviço prestado pelo aplicativo web.

Recomendações

Para a versão 2XD S000.002.271, como solução temporária, considere restringir o acesso à página “/download/set.cgi” para minimizar o risco de exploração. Evite usar a variável failhtmfile no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Identificadores relacionados

CVE-2022-25343

Produtos afetados

Kyocera D-Color Mf3555

PT-2022-17225 · Kyocera · Kyocera D-Color Mf3555

CVE-2022-25343

Identificadores relacionados

Produtos afetados

Referências · 5