CVE-2026-34980

Name of the Vulnerable Software and Affected Versions CUPS versões 2.4.16 e anteriores

Description Uma falha existe no daemon cupsd do sistema de impressão CUPS devido à validação insuficiente de entrada ao processar o parâmetro textWithoutLanguage. A exploração bem-sucedida permite que um invasor remoto execute código arbitrário enviando um arquivo PostScript especialmente criado para uma fila de impressão compartilhada via uma solicitação Print-Job. O servidor aceita um valor page-border, preserva uma nova linha incorporada por meio de escape de opção e reanálise, e então reanalisa o texto PPD da segunda linha resultante como um registro de controle de agendador confiável. Um job de impressão bruto subsequente pode então fazer com que o servidor execute um binário escolhido pelo invasor como lp.

Recommendations Atualize para uma versão posterior a 2.4.16.