CVE-2023-27350

PaperCut MF/NG

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-04-21

Официальное описание

PaperCut MF/NG contains an improper access control vulnerability within the SetupCompleted class that allows authentication bypass and code execution in the context of system.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-27350 — это критическая уязвимость обхода аутентификации в PaperCut MF и PaperCut NG. Проблема заключается в некорректном контроле доступа в классе SetupCompleted. Злоумышленник может получить доступ к административной панели без ввода учетных данных, обратившись к определенным URL-адресам, которые должны быть доступны только на этапе первоначальной настройки сервера. После получения административного доступа злоумышленник может использовать встроенные функции скриптинга (например, интеграцию с устройствами) для выполнения произвольного кода в контексте системы (SYSTEM на Windows или root на Linux).

Как исправить

Основным и рекомендуемым способом устранения уязвимости является обновление PaperCut до версий, в которых данная ошибка исправлена.

  1. Скачайте актуальный установщик с официального сайта PaperCut.
  2. Выполните обновление поверх текущей установки (данные и настройки будут сохранены).

Исправленные версии: * 20.1.7 и выше * 21.2.11 и выше * 22.0.9 и выше

Для проверки текущей версии используйте команду:

(Get-Item "C:\Program Files\PaperCut MF\server\lib\pcng-server.jar").VersionInfo.ProductVersion

Временные меры

Если немедленное обновление невозможно, необходимо применить следующие меры для снижения риска эксплуатации:

  1. Ограничьте доступ к веб-интерфейсу администрирования (порты 9191 и 9192) на сетевом уровне (Firewall), разрешив подключения только с доверенных IP-адресов администраторов.
New-NetFirewallRule -DisplayName "Restrict PaperCut Admin Access" -Direction Inbound -LocalPort 9191,9192 -Protocol TCP -Action Block -RemoteAddress Any
  1. Настройте правила на уровне обратного прокси (если используется), чтобы блокировать доступ к страницам настройки:
/app?service=page/SetupCompleted

  1. Заблокируйте исходящий трафик для сервера PaperCut на неожидаемые внешние адреса, чтобы предотвратить загрузку полезной нагрузки (Reverse Shell).

  2. Включите расширенный аудит логов в директории установки для выявления подозрительной активности:

[Installation Path]\PaperCut MF\server\logs\server.log
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей