Xeroxは最近、FreeFlow Core印刷オーケストレーションプラットフォームに存在する2つの重大な脆弱性に対してパッチを提供しました。
これらの脆弱性を発見したペンテスト企業Horizon3によると、FreeFlow CoreはXXEインジェクションの脆弱性(CVE-2025-8355)とパストラバーサルの問題(CVE-2025-8356)の影響を受けています。
研究者たちは、これらの脆弱性により認証されていないリモートの攻撃者が、影響を受けるFreeFlow Coreインスタンス上で任意のコードを実行できる可能性があることを発見しました。
その影響の可能性は、ターゲットシステムにウェブシェルを設置するエクスプロイトによって実証されています。
FreeFlow Coreはプリプレス自動化ワークフロー向けに設計されており、Horizon3によると、大学、パッケージング・マーケティング企業、さらには政府機関など、大規模な印刷業務を持つ組織で主に使用されています。
「この製品の性質上、FreeFlow Coreのインストール環境には多くの構成要素があり、比較的オープンなアクセスと可用性が求められます。また、この種の印刷ジョブには一般的にマーケティングキャンペーンに関する公開前の情報が含まれているため、攻撃者にとって理想的なターゲットとなります」とセキュリティ企業は警告しています。
これらの脆弱性は6月にXeroxへ報告され、8月8日にベンダーがアドバイザリを公開し、パッチの提供を顧客に通知した際に修正されました。修正はFreeFlow Coreバージョン8.0.5に含まれています。
今年初めにも、研究者たちはXerox VersaLink多機能プリンターに脆弱性が存在し、攻撃者が認証情報を取得し、それを使って横方向移動が可能となることを明らかにしました。
広告。スクロールして続きを読む。