Horizon3.aiの研究者が、顧客環境で異常な挙動を検知したことからこの脆弱性を発見しました。
Xerox は、FreeFlow Core製品に存在する重大および高深刻度の脆弱性に対するセキュリティアップグレードを発表しました。これらの脆弱性は、研究者によれば、攻撃者がリモートでコードを実行できる可能性がありました。
Xerox FreeFlow Coreはプリプレス自動化ワークフローを管理する印刷オーケストレーションプラットフォームであり、包装会社、マーケティングキャンペーン、大学、政府機関など、大規模な印刷業務を必要とする組織でよく利用されています。
サンフランシスコに拠点を置くペンテストおよびレッドチーム専門企業のHorizon3.aiは、最近このソフトウェアに2つの重大な脆弱性が含まれていることを発見しました。1つは、CVE-2025-8356として追跡されているクリティカルなパストラバーサル脆弱性(CVSSスコア9.8)で、攻撃者がリモートでコードを実行できる可能性がありました。もう1つはCVE-2025-8355として追跡されており、CVSSスコア7.5で、XML入力の不適切な処理によりサーバーサイドリクエストフォージェリ(SSRF)攻撃につながる可能性がありました。
Horizon3.aiの研究者は、同社の顧客から異常なネットワーク活動が報告された6月にこの問題を知ったと述べています。
顧客は、Horizon3.aiのNodeZeroセキュリティソフトウェアが、顧客のマシンの1つでXML外部エンティティが悪用されているというアラートを受信していたため、誤検知だと思っていたと説明しました。顧客とともにこのインシデントを調査した結果、Horizon3.aiはXeroxのソフトウェアに存在する2つの脆弱性が原因であることを突き止めました。
Xeroxは8月8日のセキュリティ速報で、これらの脆弱性に対するパッチが含まれるFreeFlow Coreバージョン8.0.5へのアップグレードを顧客に推奨しました。
「これらの脆弱性は悪用が非常に容易なため、推奨される対策はできるだけ早くパッチ済みバージョンへアップグレードすることです」と、Horizon3.aiのセキュリティ研究者Jimi Sebree氏は述べています。
プリンターの脆弱性は非常に深刻と見なされることが多いです。なぜなら、印刷コンポーネントは通常、他のシステムへのオープンアクセスが必要であり、侵害された場合、これらのシステムが侵入にさらされる可能性があるためです。
Sebree氏は、容易にパッチを適用できないシステムを持つ顧客は、デフォルトでポート4004で待ち受けているJMFクライアントサービスへのアクセスを制限することを検討すべきだと述べています。
Xeroxのセキュリティ担当者からのコメントは、現時点では得られていません。