Xerox için bir güvenlik yükseltmesi yayınladı FreeFlow çekirdek ürününde kritik ve yüksek şiddetli güvenlik açıkları Araştırmacılar dedi bir saldırganın uzaktan kod yürütmesine izin verebilirdi.
Xerox FreeFlow Core, prepres otomasyon iş akışlarını işleyen bir basılı düzenleme platformudur ve genellikle ambalaj şirketleri, pazarlama kampanyaları, üniversiteler ve devlet kurumları da dahil olmak üzere büyük baskı operasyonları gerektiren kuruluşlar tarafından kullanılır.
San Francisco merkezli bir pentesting ve kırmızı takım uzmanı olan Horizon3.ai, yazılımın iki ciddi kusur içerdiğini keşfetti: kritik bir yol geçiş güvenlik açığı, CVE-2025-83569.8 CVSS puanı ile bir saldırganın uzaktan kod yürütülmesine izin verebilir; ve ikinci bir güvenlik açığı, CVE-2025-83557.5 CVSS puanı ile, XML girişinin uygunsuz işlenmesini içeriyordu ve sunucu tarafı istek ampuary saldırılarına yol açabilirdi.
Horizon3.Ai araştırmacıları, şirketin müşterilerinden birinin olağandışı ağ faaliyeti bildirmesinden sonra Haziran ayında konuyu öğrendiklerini söyledi.
Müşteri, yanlış pozitif olduğunu düşündüğünü açıkladı, çünkü Horizon3.ai’nin Nodezero güvenlik yazılımı, müşterinin makinelerinden birinde bir XML harici varlığın kullanıldığı konusunda uyarılar alıyordu. Müşteri ile birlikte olayı araştırdıktan sonra, Horizon3.i sorunu Xerox’un yazılımındaki iki kusura kadar takip etti.
Xerox’un 8 Ağustos Güvenlik Bülteni, müşterileri güvenlik açıkları için yamalar içeren FreeFlow Core sürüm 8.0.5’e yükseltmeye çağırdı.
Horizon3.ai güvenlik araştırmacısı Jimi Sebree, “Bu kusurlar sömürmek için önemsiz olduğundan, önerilen azaltma mümkün olan en kısa sürede yamalı bir versiyona yükseltmektir” dedi.
Yazıcı güvenlik açıkları genellikle çok ciddi kabul edilir, çünkü baskı bileşenleri tipik olarak diğer sistemlere açık erişim gerektirir ve böylece tehlikeye girerse bu sistemleri girişlere maruz bırakabilir.
Sebree, kolayca yamalanamayan sistemlere sahip müşterilerin, 4004 numaralı bağlantı noktasında JMF istemci hizmetine erişimi sınırlamayı düşünmesi gerektiğini söyledi.
Bir Xerox güvenlik yetkilisine yorum için hemen ulaşılamadı.