A Xerox nemrég két súlyos sérülékenységet javított a FreeFlow Core nyomtatási munkafolyamat-automatizálási platformjában, amelyeket a Horizon3 penetrációs teszteléssel foglalkozó kiberbiztonsági vállalat kutatói fedeztek fel. A FreeFlow Core-t érintő két sebezhetőség:
- CVE-2025-8355 – Core XXE injektálás
- CVE-2025-8356 – Path traversal
A sebezhetőségek lehetővé tehetik a támadók számára, hogy tetszőleges kódot futtassanak az érintett rendszeren. A kutatók azzal demonstrálták a kockázatot, hogy egy sikeres támadás után webshell-t helyeztek el a célba vett szerveren, amely teljes távoli hozzáférést biztosított a támadó számára.
A FreeFlow Core elsősorban nagyméretű nyomtatási környezetekben használt megoldás, amely automatizálja az előkészítési munkafolyamatokat. Tipikus felhasználói körébe tartoznak:
- egyetemek,
- csomagoló- és marketingcégek,
- kormányzati intézmények.
A Horizon3 szerint a platform működéséből adódóan a rendszereknek nyitottnak és folyamatosan elérhetőnek kell lenniük, hiszen a nyomtatási munkák előzetes információkat tartalmaznak, például marketingkampányokról vagy bizalmas dokumentumokról. Ezáltal a FreeFlow Core ideális célponttá válik a kiberbűnözők számára, akik hozzáférést keresnek a még publikálás előtti érzékeny adatokhoz.
A sebezhetőségeket a kutatók 2025 júniusában jelentették a Xeroxnak, amely augusztus 8-án adta ki a hivatalos közleményt és a szükséges javításokat. A javításokat a FreeFlow Core 8.0.5-ös verziója tartalmazza. Az érintett felhasználóknak javasolt haladéktalanul telepíteni a Xerox által kiadott frissítéseket.
Nem ez volt az első alkalom, hogy Xerox-termékekkel kapcsolatban biztonsági problémák merültek fel. 2025 év elején a kutatók olyan sebezhetőségeket azonosítottak a Xerox VersaLink multifunkciós nyomtatókban, amelyek segítségével a támadók hitelesítési adatokat tudtak megszerezni.
A FreeFlow Core esete újabb bizonyíték arra, hogy a nyomtatási infrastruktúra nem hagyható figyelmen kívül a vállalati kiberbiztonsági stratégiákban. Mivel ezek a rendszerek gyakran érzékeny, publikálás előtti adatokat kezelnek, kompromittálódásuk súlyos adatvédelmi és üzleti következményekkel járhat.
