Уразливості в HP LaserJet
23:57 27.01.2015У грудні, 28.12.2014, я виявив Information Leakage та Insufficient Authorization уразливості в HP LaserJet. Це сталося після виявлення уразливостей в Samsung SyncThru Web Service і вони подібні до них.
Це панель керування МФУ і принтерів HP, зокрема я знайшов HP LaserJet 400 MFP M425dn та HP LaserJet M1522n MFP. Про що найближчим часом повідомлю розробникам.
Information Leakage (WASC-13):
http://site/info_deviceStatus.html
Можливий доступ без авторизації до інформації про всі налаштування принтера (для читання, але можна знайти принтери з можливістю зміни налаштувань).
Insufficient Authorization (WASC-02):
В розділі “Печать информационных страниц” (Print Information Pages) можна друкувати тестові документи без авторизації. Таким чином без знання логіна і паролю можна витратити папір і картридж принтера.
http://site/info_specialPages.html?tab=Home&menu=InfoPages
Уразливі мережеві МФУ і принтери HP з версіями прошивки 20130415 та попередні версії.