Websecurity - Веб безпека

У грудні, 28.12.2014, я виявив Information Leakage та Insufficient Authorization уразливості в HP LaserJet. Це сталося після виявлення уразливостей в Samsung SyncThru Web Service і вони подібні до них.

Це панель керування МФУ і принтерів HP, зокрема я знайшов HP LaserJet 400 MFP M425dn та HP LaserJet M1522n MFP. Про що найближчим часом повідомлю розробникам.

Information Leakage (WASC-13):

http://site/info_deviceStatus.html

Можливий доступ без авторизації до інформації про всі налаштування принтера (для читання, але можна знайти принтери з можливістю зміни налаштувань).

Insufficient Authorization (WASC-02):

В розділі “Печать информационных страниц” (Print Information Pages) можна друкувати тестові документи без авторизації. Таким чином без знання логіна і паролю можна витратити папір і картридж принтера.

http://site/info_specialPages.html?tab=Home&menu=InfoPages

Уразливі мережеві МФУ і принтери HP з версіями прошивки 20130415 та попередні версії.

This entry was posted on 23:57 27.01.2015 and is filed under Уразливості. You can follow any responses to this entry through the RSS 2.0 feed.