CVE-2023-2533
PaperCut NG/MF
2025-07-28
PaperCut NG/MF contains a cross-site request forgery (CSRF) vulnerability, which, under specific conditions, could potentially enable an attacker to alter security settings or execute arbitrary code.
Технический анализ и план устранения
Суть уязвимости
Уязвимость CVE-2023-2533 в продуктах PaperCut NG и PaperCut MF относится к классу подделки межсайтовых запросов (Cross-Site Request Forgery, CSRF). Если авторизованный администратор системы перейдет по специально сформированной вредоносной ссылке или посетит подконтрольный злоумышленнику веб-сайт, его браузер в фоновом режиме отправит несанкционированный запрос к серверу PaperCut. Поскольку запрос выполняется в контексте доверенной и активной сессии администратора, сервер обработает его как легитимный. Это позволяет злоумышленнику без прямой аутентификации изменить критические настройки безопасности системы. При определенных конфигурациях данная уязвимость может быть использована для выполнения произвольного кода (RCE) на сервере с привилегиями службы PaperCut.
Как исправить
Единственный гарантированный способ устранения уязвимости — обновление PaperCut NG/MF до версий, в которых внедрена защита от CSRF (версии 22.0.9, 21.2.11, 20.1.7 или более новые).
Создайте полную резервную копию базы данных и директории установки PaperCut. Скачайте актуальный дистрибутив с официального портала лицензирования PaperCut. Остановите службу сервера приложений перед установкой обновления в Windows:
Stop-Service -Name "PaperCut Application Server" -Force
Остановите службу сервера приложений в Linux:
systemctl stop papercut
Запустите скачанный установщик и выполните обновление поверх текущей версии (настройки сохранятся автоматически). После завершения установки запустите службу в Windows:
Start-Service -Name "PaperCut Application Server"
Запустите службу в Linux:
systemctl start papercut
Авторизуйтесь в панели управления и на вкладке "About" убедитесь, что версия системы обновилась до безопасной.
Временные меры
Если немедленное обновление невозможно, необходимо срочно внедрить компенсирующие меры для снижения риска эксплуатации.
Ограничьте сетевой доступ к веб-интерфейсу администратора (по умолчанию порты 9191 HTTP и 9192 HTTPS) только для выделенного VLAN управления или конкретных IP-адресов администраторов. Разрешите доступ к портам управления только для доверенной подсети (например, 192.168.100.0/24) через Windows Defender Firewall:
New-NetFirewallRule -DisplayName "Allow PaperCut Admin" -Direction Inbound -LocalPort 9191,9192 -Protocol TCP -Action Allow -RemoteAddress "192.168.100.0/24"
Заблокируйте доступ к портам управления для всех остальных адресов в Windows:
New-NetFirewallRule -DisplayName "Block PaperCut Admin" -Direction Inbound -LocalPort 9191,9192 -Protocol TCP -Action Block
Разрешите доступ к портам управления для доверенной подсети через UFW в Linux:
ufw allow from 192.168.100.0/24 to any port 9192 proto tcp
Заблокируйте доступ к портам управления для всех остальных в Linux:
ufw deny 9192/tcp
Обяжите администраторов использовать отдельный браузер (или режим инкогнито) исключительно для сеансов управления сервером PaperCut. Запретите администраторам открывать сторонние веб-сайты, читать почту или переходить по внешним ссылкам в том же браузере, где активна сессия PaperCut. Проинструктируйте персонал обязательно нажимать кнопку "Log Out" (Выход) сразу после завершения задач администрирования для немедленного уничтожения сессионных cookie.