聚焦源代码安全,网罗国内外最新资讯!
施乐 (Xerox) 发布FreeFlow Core的安全更新,修复了两个可导致SSRF和RCE的高危漏洞。这两个漏洞均影响8.0.4版本且已在8.0.5版本中修复,新版本可从 Xerox.com 中获取。
CVE-2025-8355是可导致SSRF的XXE漏洞(CVSS评分7.5),是因为 FreeFlow Core 8.0.4中的XML 输入处理不当造成的。施乐公司表示,“攻击者可构造包含内部URL引用的恶意XML”,诱骗系统将请求发送至内部资源。
这种类型的SSRF漏洞可用于:
侦查内部网络服务
访问受保护系统中的敏感数据
绕过防火墙限制
CVE-2025-8356是RCE的的路径遍历漏洞(CVSS评分 9.8),是源自同样版本中的路径遍历漏洞。攻击者可利用该漏洞“访问服务器上的未授权文件”,从而可能将攻击升级至远程代码执行。
通过该RCE漏洞,威胁人员能够:
在底层服务器上执行任意命令
安装恶意软件或后门
跳转到更深层网络,针对其它系统。
鉴于该漏洞的CVSS评分为9.8,它可对尚未应用补丁的组织机构造成严重风险。施乐公司督促所有客户立即升级至FreeFlow Core 8.0.5版本,缓解这些威胁。客户可从施乐官方网站获取该更新。
https://securityonline.info/urgent-xerox-freeflow-core-patch-critical-flaws-cvss-9-8-allow-rce-and-ssrf/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~