印表機大廠 HP 日前發表資安通報,指出旗下多款 LaserJet 系列雷射印表機內含一個嚴重漏洞 CVE-2023-1707,可能導致用戶機敏資訊外洩;該公司將於 90 日內推出修補軟體,以修復該嚴重資安漏洞。
該漏洞在執行 FutureSmart 韌體版本 5.6 並啟用 IPSec (Internet Protocol Security) 功能的受影響雷射印表機上,駭侵者可藉由此漏洞存取受害用戶與其 HP 印表機與其他內部網路裝置上的通訊內容,藉以取得機敏資訊。
根據 HP 的資安通報指出,該漏洞的 CVSS 漏洞危險程度評分高達 9.1 分(滿分為 10 分),其危險程度評級為「嚴重」(Critical)等級。
這個 CVE-2023-1707 漏洞影響多達 50 款 HP 企業級雷射印表機與代管印表機等機種,受影響機種包括 HP Color LaserJet Enterprise M455、HP Color LaserJet Enterprise MFP M480、HP Color LaserJet Managed E45028、HP LaserJet Enterprise M406、HP LaserJet Enterprise MFP M430、HP LaserJet Managed E40040 等多款機種。
HP 表示,目前已暫停用戶下載安裝包含此漏洞在內的舊版印表機韌體,而修復此漏洞的新版韌體,將會在 90 天內推出;但目前並無暫時解決方案可用。HP 建議用戶可先將印表機韌體降版到 FS 5.5.0.3 版本。
- CVE 編號:CVE-2023-1707
- 影響產品:參考 HP 官方資安通報網頁。
- 解決方案:暫無,HP 將於 90 天內推出更新韌體。用戶應密切注意 HP 相關更新通知,並在未有更新版韌體可用期間,先將印表機韌體降版到 FS 5.5.0.3 版本。
本文轉載自TWCERT/CC。