← volver
CVE-2023-2533

PaperCut MF/NG 22.0.10 (Build 65996 2023-03-27) - Remote code execution via CSRF

CVSS 8.4 HIGHEPSS 29.5%● KEVCWE-352
En resumen

PaperCut MF/NG tiene una falla de seguridad que permite a un atacante engañar a un administrador conectado para realizar cambios peligrosos o ejecutar código malicioso haciendo clic en un enlace especialmente crafted. Esto ocurre porque la aplicación no verifica correctamente que las solicitudes provengan de usuarios legítimos.

Detalle técnico

Una vulnerabilidad CSRF en PaperCut NG/MF 22.0.10 permite que un atacante falsifique solicitudes ejecutadas con privilegios de administrador autenticado si el administrador es engañado para hacer clic en un enlace malicioso. El vector de ataque es ingeniería social del lado del cliente; requiere sesión activa de admin e interacción de la víctima. El impacto incluye ejecución arbitraria de código y modificación de configuraciones de seguridad.

Resumen generado y traducido por IA a partir de la descripción oficial.
A Cross-Site Request Forgery (CSRF) vulnerability has been identified in PaperCut NG/MF, which, under specific conditions, could potentially enable an attacker to alter security settings or execute arbitrary code. This could be exploited if the target is an admin with a current login session. Exploiting this would typically involve the possibility of deceiving an admin into clicking a specially crafted malicious link, potentially leading to unauthorized changes.
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:H/A:H
Productos afectados
PaperCut · PaperCut NG/MF

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://fluidattacks.com/advisories/arcangel/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2023-2533https://www.papercut.com/kb/Main/SecurityBulletinJune2023