日本计算机应急响应小组协调中心 (JPCERT/CC) 已发布警报,称 SIOS Technology, Inc. 为理光多功能打印机 (MFP) 开发的 Windows 应用程序 Quick Agent 中存在多个严重漏洞。这些漏洞影响 Quick Agent Ver3.2.1 (V3) 和 Ver2.9.8 (V2) 之前的版本,可能允许攻击者执行任意代码、窃取文件或进行未经授权的登录尝试。
Quick Agent 广泛用于支持理光的扫描和传真解决方案,包括:
- 快速扫描
- 简易传真
- Speedoc
- 智能环保传真
鉴于其集成到基本办公工作流程中,安全漏洞的存在对依赖这些系统的组织构成了重大风险。
已发现的漏洞包括:
- CVE-2025-26692(CVSS 9.2):文件上传功能中的路径遍历漏洞可能允许远程未经身份验证的攻击者以 Windows 系统权限执行任意代码。
- CVE-2025-27937(CVSS 7.1):文件下载功能中的路径遍历漏洞可能允许经过身份验证的攻击者从受影响的系统获取任意文件。
- CVE-2025-31144 (CVSS 6.9):一个不当的访问控制漏洞,可能使远程未经身份验证的攻击者能够通过受影响的 Windows 系统尝试任意主机登录。
强烈建议使用 Quick Agent 的组织将软件更新将软件升级到 SIOS Technology 提供的最新版本。立即修补对于防止这些漏洞被利用至关重要。
如果无法立即更新,JPCERT/CC 建议采取以下解决方法:
- 限制在受信任的 LAN 环境中使用。
- 使用防火墙阻止不受信任的网络和主机的访问。
- 当需要访问互联网时,实施 VPN 或其他安全隧道,确保最大限度地减少对更广泛的互联网的暴露。
发表评论
您还未登录,请先登录。
登录