近日多款HP多功能打印機(jī)（MFP）中的兩個(gè)安全漏洞被發(fā)現(xiàn)，這些漏洞統(tǒng)稱為Print Shellz，影響了大約 150 種HP打印機(jī)型號(hào)。

統(tǒng)稱為Printing Shellz的兩個(gè)漏洞為：

HP MFP信息泄露漏洞（CVE-2021-39237）

該漏洞是由暴露的物理端口導(dǎo)致的，因此利用該漏洞需要攻擊者本地訪問(wèn)，其CVSS評(píng)分為7.1，涉及如下型號(hào) HP LaserJet、HP LaserJet Managed、HP PageWide 和 HP PageWide Managed等。

HP MFP緩沖區(qū)溢出漏洞（CVE-2021-39238）

該漏洞的CVSS評(píng)分為9.3，攻擊復(fù)雜度低，無(wú)需特殊權(quán)限即可被遠(yuǎn)程利用，且無(wú)需與用戶交互。需要注意的是，該漏洞為“可蠕蟲(chóng)式”嚴(yán)重漏洞，涉及如下型號(hào)HP LaserJet、HP LaserJet Managed、HP PageWide 和 HP PageWide Managed等。

攻擊者可以利用這些漏洞來(lái)獲得代碼執(zhí)行權(quán)限，其中CVE-2021-39237需要物理訪問(wèn)，而CVE-2021-39238可以遠(yuǎn)程利用。針對(duì)CVE-2021-39238的一個(gè)攻擊方式涉及跨站打?。╔SP）攻擊，以獲得設(shè)備上的代碼執(zhí)行權(quán)限。

此外，由于CVE-2021-39238可蠕蟲(chóng)利用，這意味著攻擊者可以利用它來(lái)自我復(fù)制到受感染網(wǎng)絡(luò)上的其他 MFP。

目前這些漏洞已經(jīng)修復(fù)。鑒于漏洞的嚴(yán)重性，建議用戶盡快更新。

下載鏈接：https://support.hp.com/cn-zh/drivers

參考鏈接：

http://its.dlut.edu.cn/info/1054/72254.htm

        https://support.hp.com/us-en/document/ish_5000383-5000409-16/hpsbpi03749

https://support.hp.com/us-en/document/ish_5000124-5000148-16/hpsbpi03748

https://thehackernews.com/2021/11/critical-wormable-security-flaw-found.html