HP Web Jetadmin es un programa de administración de periféricos basado
en Web para la instalación, configuración y en general control de una
amplia variedad de dispositivos de red de HP (y otros fabricantes).
La primera de las vulnerabilidades consiste en que se pueden subir archivos
HTS a través de
“/plugins/hpjwja/script/devices_update_printer_fw_upload.hts”. Los
archivos subidos quedarán almacenados en el directorio
“/plugins/hpjwja/firmware/printer/”.
El segundo de los problemas
se debe a que la entrada al parámetro “setinclude” de
“/plugins/hpjdwm/script/test/setinfo.hts” no se verifica de forma
correcta. Esta falta de verificación puede utilizarse para leer archivos
arbitrarios mediante una escalada de directorios clásica a base de
secuencias de “../”.
También se ha detectado que es posible la
inyección de comandos que se ejecutarán en el servicio cuando se
reinicie. Hay publicados ejemplos en los que, por ejemplo, se podría
añadir al sistema un nuevo usuario con derechos de administrador.
A la espera del parche de actualización que corrija este problema, se
recomienda restringir el acceso para asegurar que sólo usuarios de
confianza se conecten al servicio vulnerable.
Bienvenido a un nuevo episodio del podcast semanal Silicon Pulse, un espacio en el que…
Basada en la nube, permite controlar puntos de acceso, switches y routers de forma centralizada.
Para reforzar sus capacidades de gestión, ha establecido alianzas con empresas como Fortinet, Aryaka y…
Oracle revela avances en multicloud, inteligencia artificial y seguridad en Oracle CloudWorld 2024, mejorando la…
La compañía californiana espera reducir sus emisiones de Alcance 1 y 2 en un 42…
Chris Dimitriadis, director de Estrategia Global de ISACA, destaca los retos que enfrentan las organizaciones…