Se han reportado nuevos avisos de seguridad sobre tres vulnerabilidades que afectan a productos HP LaserJet Pro, que permitirían a un atacante realizar ejecución remota de código (RCE), escalamiento privilegios, entre otros.
Las vulnerabilidades reportadas se componen de 3 (tres) de severidad “Alta”. Las mismas se detallan a continuación:
- CVE-2023-27973, de severidad “Alta”, con puntuación asignada de 8.8. Esta vulnerabilidad se debe a una falla de seguridad en HP LaserJet Pro. Esto permitiría a un atacante provocar un desbordamiento de buffer en el montículo de datos (heap) y desencadenar una ejecución remota de código (RCE) o escalamiento de privilegios en los dispositivos afectados.
- CVE-2023-27971, de severidad “Alta”, con puntuación asignada de 8.8. Esta vulnerabilidad se debe a una falla de seguridad en HP LaserJet Pro. Esto permitiría a un atacante provocar desbordamiento de buffer y desencadenar escalamiento de privilegios en los dispositivos afectados.
- CVE-2023-27972, de severidad “Alta”, con puntuación asignada de 8.8. Esta vulnerabilidad se debe a una falla de seguridad en HP LaserJet Pro. Esto permitiría a un atacante provocar desbordamiento de buffer y desencadenar una ejecución remota de código (RCE) en los dispositivos afectados.
Los productos afectados son:
- HP Color LaserJet MFP M478-M479 series, modelos: W1A75A, W1A76A, W1A77A, W1A81A, W1A82A, W1A79A, W1A80A y W1A78A.
- HP Color LaserJet Pro M453-M454 series, modelos: W1Y40A, W1Y41A, W1Y46A, W1Y47A, W1Y44A, W1Y45A y W1Y43A.
- HP LaserJet Pro M304-M305 Printer series, modelos: W1A66A, W1A46A, W1A47A y W1A48A.
- HP LaserJet Pro M404-M405 Printer series, modelos: W1A66A, W1A46A, W1A47A y W1A48A.
- HP LaserJet Pro MFP M428-M429 f series, modelos: W1A29A, W1A32A, W1A30A, W1A38A, W1A34A y W1A35A.
- HP LaserJet Pro MFP M428-M429 series, modelos: W1A28A, W1A31A y W1A33A.
Recomendamos acceder a la actualización del firmware a la versión 002_2310A o superiores para subsanar dicha vulnerabilidad en el siguiente enlace:
Referencias:
- https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-productos-hp-laserjet-pro
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27973
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27971
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27972
- https://support.hp.com/us-en/document/ish_7920137-7920161-16/hpsbpi03841
- https://support.hp.com/us-en/document/ish_7919962-7920003-16/hpsbpi03839
- https://support.hp.com/us-en/document/ish_7920078-7920104-16/hpsbpi03840
- https://support.hp.com/us-en/drivers