Vulnerabilidades críticas en Xerox FreeFlow Core, una plataforma de orquestación impresa ampliamente utilizada, permiten a los atacantes remotos no autenticados que ejecutan código malicioso en sistemas vulnerables.
Los defectos, rastreados como CVE-2025-8355 y CVE-2025-8356, afectan el servicio al cliente JMF y se han parcheado en FreeFlow Core versión 8.0.5.
Control de llave
1. Dos vulnerabilidades críticas en el núcleo de FreeFlow de Xerox permiten ataques de ejecución de código remoto.
2. Impulsar tiendas, universidades y agencias gubernamentales que usan Core FreeFlow están en riesgo.
3. Actualice inmediatamente a las vulnerabilidades de parche.
Inicialmente, las vulnerabilidades se descubrieron durante una investigación de lo que parecía ser una detección de falsos positivos, revelando en última instancia serias debilidades de seguridad que podrían comprometer los sistemas que manejan materiales de marketing previos a la publicación sensibles y operaciones de impresión comercial.
Vulnerabilidad de inyección xxe
Horizon3.ai informa que la vulnerabilidad, CVE-2025-8355, es una falla de inyección de entidad externa XML (xxe) que afecta el servicio del cliente JMF que escucha en el puerto 4004.
Este servicio procesa mensajes de formato de mensaje de trabajo (JMF) para administrar trabajos de impresión e informes de estado. La vulnerabilidad existe en el binario jmfclient.jar, que contiene una utilidad de análisis XML que no puede desinfectar o restringir adecuadamente el uso de entidades externas XML.
Los atacantes pueden explotar esta debilidad enviando solicitudes XML especialmente elaboradas para realizar ataques de falsificación de solicitudes del lado del servidor (SSRF).
El analizador XML procesa entidades externas sin validación, lo que permite a los actores maliciosos leer archivos locales, escanear redes internas o acceder potencialmente a la información confidencial de los sistemas de backend.
Esta vulnerabilidad proporciona un punto de entrada para las actividades de reconocimiento y puede estar encadenada con otros ataques para aumentar los privilegios dentro del entorno objetivo.
Vulnerabilidad de recorrido de ruta
La vulnerabilidad más severa, CVE-2025-8356, es una falla transversal de ruta descubierta en el mecanismo de procesamiento de archivos de los comandos JMF.
Los investigadores de seguridad identificaron que la función ProcessIncomingRqemessage () no puede validar las rutas de archivos durante las operaciones de carga correctamente, lo que permite ataques transversales del directorio.
Los atacantes pueden crear mensajes de comando JMF malicioso que contengan secuencias “../” para escapar del directorio de carga previsto y escribir archivos en ubicaciones arbitrarias en el sistema de archivos del servidor.
Esta capacidad permite la colocación de redes web en directorios de acceso público, lo que lleva a la ejecución de código remoto.
Vulnerabilidad de Core FreeFlow
Si bien el servicio al cliente JMF en el puerto 4004 no puede servir directamente a archivos cargados, los portales web principales proporcionan la funcionalidad necesaria para ejecutar cargas útiles maliciosas, lo que hace que esta vulnerabilidad sea particularmente peligrosa para las organizaciones que ejecutan instalaciones centrales de FreeFlow.
CVE IDTITLECVSS 3.1 ScoreSeverityCVE-2025-83555 EXTERNAL XML Entidad (XXE) Vulnerabilidad de inyección 7.5highcve-2025-8356Path Vulnerabilidad transversal9.8 Criticical
Ambas vulnerabilidades plantean riesgos significativos para las organizaciones que utilizan FreeFlow Core, particularmente las imprentas comerciales, las universidades, las agencias gubernamentales y los proveedores de marketing que manejan materiales sensibles previos a la publicación.
Xerox ha abordado estos problemas en FreeFlow Core versión 8.0.5, y los expertos en seguridad recomiendan las actualizaciones inmediatas para evitar la explotación potencial de estos defectos críticos.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
