.png)
.png)
.png)
.jpg)
Обе уязвимости были обнаружены специалистами американской Horizon3. Одна из них CVE-2025-8355 с оценкой CVSS 7,5 баллов, возникающая из-за некорректной очистки XML-ввода, позволяет внедрить посторонние данные, что, в свою очередь, дает возможность осуществлять подмену серверного запроса или, так называемые, SSRF-атаки.
Вторая уязвимость CVE-2025-8356 с оценкой CVSS 9,8 баллов грозит гораздо более печальными последствиями, открывая доступ к файлам и позволяя удалённо запустить вредоносный код через команды JMF.
Xerox смогла выпустить обновление ПО FreeFlow Core версии 8.0.5 с устранением данных критических уязвимостей только 8 августа, хотя предупреждение от Horizon3 получила еще в июне текущего года. При этом клиентам, чьи системы сложно обновить, Xerox рекомендует рассмотреть возможность ограничения доступа к клиентской службе JMF, которая по умолчанию прослушивает порт 4004.
Источники: Xerox, Cybersecurity Dive
.png)
.jpg)
/13265843/i_380.jpg)
/13265724/i_380.jpg)
/13265762/i_380.jpg)
/13265725/i_380.jpg)