CVE-2025-58364
cups: Remote DoS via null dereference
Em resumo
O sistema de impressão CUPS possui uma falha que causa travamento quando recebe informações malformadas sobre impressoras pela rede. Isso afeta todos os computadores da mesma rede local que estão configurados para descobrir impressoras automaticamente, podendo interromper os serviços de impressão.
Detalhe técnico
Desserialização insegura e validação insuficiente de atributos de impressoras na libcups (versões ≤2.4.12) causa desreferência de ponteiro nulo. O vetor de ataque é Adjacent Network nas configurações padrão; a exploração requer que o atacante esteja no mesmo segmento de rede onde a descoberta de impressoras (mDNS/Bonjour) está ativa, resultando em negação de serviço via crash do daemon CUPS e processos cups-browsed.
Resumo gerado e traduzido por IA a partir da descrição oficial.
OpenPrinting CUPS is an open source printing system for Linux and other Unix-like operating systems. In versions 2.4.12 and earlier, an unsafe deserialization and validation of printer attributes causes null dereference in the libcups library. This is a remote DoS vulnerability available in local subnet in default configurations. It can cause the cups & cups-browsed to crash, on all the machines in local network who are listening for printers (so by default for all regular linux machines). On systems where the vulnerability CVE-2024-47176 (cups-filters 1.x/cups-browsed 2.x vulnerability) was not fixed, and the firewall on the machine does not reject incoming communication to IPP port, and the machine is set to be available to public internet, attack vector "Network" is possible. The current versions of CUPS and cups-browsed projects have the attack vector "Adjacent" in their default configurations. Version 2.4.13 contains a patch for CVE-2025-58364.
CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H