Lexmark打印机恣意代码执行0day误差-鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

Lexmark打印机恣意代码执行0day误差

宣布时间 2021-06-23

0x00 误差概述

CVE ID		时间	2021-06-23
类型	外地代码执行	等级	高危
远程使用	否	影响规模
攻击重漂后	低	可用性	高
用户交互	无	所需权限	无
PoC/EXP	未果真	在野使用	否

0x01 误差详情

Lexmark（利盟）是一家专注于打印和影像解决计划的研发商、生产商及供应商，，，其客户包括零售、金融效劳、医疗保健、制造、教育和政府等，，，其打印机在全球规模内被普遍使用。。。。。。

2021年06月21日，，，外洋清静研究员在Lexmark打印机软件G2装置包中发明了一个恣意代码执行0day误差，，，其CVSSv3基本评分为8.4。。。。。。

治理员可自界说G2装置包的装置路径，，，LM__bdsvc.exe是打印机通讯系统的一部分。。。。。。由于LM__bdsvc 中保存一个未加引号的效劳路径误差，，，攻击者可以通过将一个可执行文件插入效劳路径来使用此误差，，，当效劳或系统重新启动时，，，将提升可执行文件的权限。。。。。。该误差无需特殊权限和用户交互即可外地使用，，，且使用重漂后低。。。。。。

0x02 处置惩罚建议

现在，，，该误差已在IBM X-Force（基于云的威胁情报共享平台）果真披露，，，但Lexmark暂未修复该误差，，，且暂未宣布相关清静通告。。。。。。

官方链接：

https://www.lexmark.com/en_us/solutions/security/lexmark-security-advisories.html

0x03 参考链接

https://exchange.xforce.ibmcloud.com/vulnerabilities/204093

https://www.lexmark.com/en_us/solutions/security/lexmark-security-advisories.html

https://threatpost.com/lexmark-printers-code-execution-zero-day/167111/

0x04 时间线

2021-06-21 IBM X-Force果真披露

2021-06-23 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究