0x00漏洞概述
|
CVE ID |
时 间 |
2021-06-23 |
|
|
类 型 |
本地代码执行 |
等 级 |
高危 |
|
远程利用 |
否 |
影响范围 |
|
|
攻击复杂度 |
低 |
可用性 |
高 |
|
用户交互 |
无 |
所需权限 |
无 |
|
PoC/EXP |
未公开 |
在野利用 |
否 |
0x01漏洞详情
Lexmark(利盟)是一家专注于打印和影像解决方案的研发商、生产商及供应商,其客户包括零售、金融服务、医疗保健、制造、教育和政府等,其打印机在全球范围内被广泛使用。
2021年06月21日,国外安全研究员在Lexmark打印机软件G2安装包中发现了一个任意代码执行0day漏洞,其CVSSv3基本评分为8.4。
管理员可自定义G2安装包的安装路径,LM__bdsvc.exe是打印机通信系统的一部分。由于LM__bdsvc 中存在一个未加引号的服务路径漏洞,攻击者可以通过将一个可执行文件插入服务路径来利用此漏洞,当服务或系统重新启动时,将提升可执行文件的权限。该漏洞无需特殊权限和用户交互即可本地利用,且利用复杂度低。
0x02处置建议
目前,该漏洞已在IBM X-Force(基于云的威胁情报共享平台)公开披露,但Lexmark暂未修复该漏洞,且暂未发布相关安全公告。
官方链接:
https://www.lexmark.com/en_us/solutions/security/lexmark-security-advisories.html
0x03参考链接
https://exchange.xforce.ibmcloud.com/vulnerabilities/204093
https://www.lexmark.com/en_us/solutions/security/lexmark-security-advisories.html
https://threatpost.com/lexmark-printers-code-execution-zero-day/167111/
0x04时间线
2021-06-21 IBMX-Force公开披露
2021-06-23 VSRC发布安全通告
0x05附录
CVSS评分标准官网:http://www.first.org/cvss/
声明:本文来自维他命安全,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。
联系我们
在线留言
京公网安备11011202100645号