富士胶片打印机漏洞允许攻击者触发DoS攻击
富士胶片业务创新公司披露了一个影响多款打印机型号的关键漏洞,攻击者可通过特制网络数据包发起拒绝服务(DoS)攻击。
该漏洞被追踪为CVE-2025-48499,影响受影响设备的互联网打印协议(IPP)和行式打印机守护程序(LPD)协议处理能力。
漏洞详情
该安全缺陷源于打印机缓冲区内存处理系统中的越界写入漏洞。当处理特定的IPP或LPD协议数据包时,打印机未能正确验证数据长度,可能导致数据写入超出指定的缓冲区区域。
这种缓冲区溢出情况会导致受影响的多功能打印机(MFP)完全冻结,需要手动重启才能恢复功能。
该漏洞被分配了CVSS v3.1评分5.3(中等严重性)和CVSS v4.0评分6.9(中等严重性),表明风险水平适中。
攻击者可以在无需认证或用户交互的情况下远程利用此漏洞,这对网络连接的打印机尤其令人担忧。
受影响型号和固件版本
| 受影响型号 | 受影响固件版本 | 修复固件版本 |
|---|---|---|
| DocuPrint CP225 w, CP228 w | 01.23.02或更早 | 01.24.00或更新 |
| DocuPrint CP115 w, CP118 w | 01.09.00或更早 | 01.11.00或更新 |
| DocuPrint CP116 w, CP119 w | 01.09.00或更早 | 01.11.00或更新 |
| DocuPrint CM225fw, CM228fw | 01.12.02或更早 | 01.13.00或更新 |
| DocuPrint CM115 w, CM118 w | 01.09.01或更早 | 01.11.00或更新 |
| Apeos 2150 N, 2350 NDA, 2150 ND, 2150 NDA | 01.00.47或更早 | 01.20.50或更新 |
该漏洞由北京航空航天大学网络空间安全学院的安全研究人员白佳举、胡瑞楠、张东和关振宇发现。富士胶片已确认他们的贡献,并为所有受影响型号发布了修复固件版本。
富士胶片强烈建议客户立即将其打印机固件更新到最新的修复版本。作为临时措施,组织应将受影响打印机部署在防火墙后面以限制暴露于潜在攻击,并在设备无响应时准备重启设备。
该公司通过其业务创新支持网站为需要固件更新帮助的客户提供详细的支持信息。