CVE-2023-2533

PaperCut MF/NG 22.0.10 (Build 65996 2023-03-27) - Remote code execution via CSRF

CVSS 8.4 HIGHEPSS 29.5%● KEVCWE-352

Em resumo

O PaperCut MF/NG possui uma falha de segurança que permite a um atacante enganar um administrador conectado para fazer alterações perigosas ou executar código malicioso ao clicar em um link especialmente crafted. Isso ocorre porque a aplicação não verifica corretamente se as requisições vêm de usuários legítimos.

Detalhe técnico

Uma vulnerabilidade de CSRF no PaperCut NG/MF 22.0.10 permite que um atacante forje requisições executadas com privilégios de administrador autenticado, caso o admin seja enganado a clicar em um link malicioso. O vetor de ataque é engenharia social no lado cliente; requer sessão ativa de admin e interação da vítima. O impacto inclui execução arbitrária de código e alteração de configurações de segurança.

Resumo gerado e traduzido por IA a partir da descrição oficial.

A Cross-Site Request Forgery (CSRF) vulnerability has been identified in PaperCut NG/MF, which, under specific conditions, could potentially enable an attacker to alter security settings or execute arbitrary code. This could be exploited if the target is an admin with a current login session. Exploiting this would typically involve the possibility of deceiving an admin into clicking a specially crafted malicious link, potentially leading to unauthorized changes.

CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H

Produtos afetados

PaperCut · PaperCut NG/MF

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://fluidattacks.com/advisories/arcangel/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2023-2533 https://www.papercut.com/kb/Main/SecurityBulletinJune2023