Lexmark 針對最近披露的 Lexmark 打印軟件和固件中的漏洞發布了多項安全警告。我們提供補丁,並要求客戶立即更新他們的設備和軟件,以保護他們免受潛在的攻擊。
詳細信息:
- Lexmark 的打印管理軟件、嵌入式 Web 服務器和固件中發現了漏洞。
- 利盟表示,它不知道存在惡意利用的情況。
- 已提供安全補丁。
其中兩個安全漏洞的總體嚴重性評級為“嚴重”。
Lexmark 打印管理客戶端中的嚴重漏洞
快速解決方案:將客戶端軟件更新至3.5.0.0及以上版本。
CVE-2025-1126 的 CVSS 評級為 9.3。這是 Lexmark 打印管理客戶端中的一個漏洞。 Lexmark 確認該問題影響 Windows、macOS 和 Linux 上的軟件。
Lexmark 將其描述為客戶端中對不可信輸入的依賴漏洞,但沒有提供更多信息安全通知。成功利用該漏洞可能會導致在系統或根上下文下啟動任意進程,或刪除文件夾,包括“通常需要管理員或其他提升權限才能訪問的文件夾”。
該安全問題影響 Lexmark 打印管理客戶端版本 3.0.0 至 3.4.0。 Lexmark 建議受影響的客戶更新到最新版本的客戶端軟件。該過程解釋於Lexmark 的支持網站。
Web 服務器中的嚴重漏洞
快速解決方案:設置密碼以防止未經授權的訪問和更新固件。
參見:如何刪除 Windows Defender 安全警告詐騙
CVE-2024-11348 是第二個嚴重漏洞。它的 CVSS 基本分數為 9.1。 Lexmark 將其描述為 Lexmark 設備的嵌入式 Web 服務器中的“路徑遍歷和並發執行組合漏洞”。
成功利用該問題可能會導致在易受攻擊的設備上遠程執行任意代碼。 Lexmark 列出所有受影響的打印機在支持文檔中。
Lexmark 建議更新受影響打印機的固件。管理員還可以在受影響的設備上設置密碼,以防止不受信任的用戶執行該漏洞。利盟表示,在初始設置時會提示用戶設置密碼。
四個漏洞評級較高
快速解決方案:Lexmark 建議升級受影響設備的固件,前提是有可用的固件升級。
Lexmark 還確認了公司設備中 Postscript 解釋器的四個安全問題。
- CVE-2024-11344— 各種 Lexmark 設備的 Postscript 解釋器中已發現類型混淆漏洞。
- CVE-2024-11345— 各種 Lexmark 設備的 Postscript 解釋器中發現了一個基於堆的內存漏洞。
- CVE-2024-11346— 各種 Lexmark 設備的 Postscript 解釋器中已發現類型混淆漏洞。
- CVE-2024-11347— 各種 Lexmark 設備的 Postscript 解釋器中已發現整數溢出漏洞。
這些漏洞可被利用以非特權用戶身份執行任意代碼。升級固件可以解決安全問題。