Компания Xerox выпустила экстренные обновления безопасности для своего программного обеспечения FreeFlow Core, устраняющие две опасные уязвимости. Эти недостатки, получившие идентификаторы CVE-2025-8355 и CVE-2025-8356, позволяют злоумышленникам осуществлять атаки типа "подделка межсерверных запросов" (SSRF) и добиваться удаленного выполнения произвольного кода (RCE) на затронутых системах. Инцидент затрагивает версию ПО 8.0.4 и представляет серьезную угрозу для корпоративных инфраструктур управления печатью и документами.
Подробности уязвимости
Согласно официальному бюллетеню безопасности Xerox XRX25-013, опубликованному 8 августа 2025 года, обе уязвимости классифицированы как имеющие уровень серьезности "ВАЖНО" (IMPORTANT). Первая из них, CVE-2025-8355, представляет собой уязвимость обработки XML External Entity (XXE). Этот недостаток возникает при разборе входящих XML-данных, содержащих ссылки на внешние сущности, без должной проверки и санации. Эксплуатация данной уязвимости напрямую ведет к успешным SSRF-атакам.
В результате злоумышленник может заставить уязвимый сервер FreeFlow Core выполнять несанкционированные запросы к внутренним или внешним ресурсам сети. Это открывает путь к раскрытию конфиденциальной информации, хранящейся в локальных файлах системы, сканированию внутренней сети организации на предмет других слабых мест или даже к проведению атак типа "отказ в обслуживании" (DoS) на связанные ресурсы. Особенно опасен SSRF в корпоративных средах, где серверы FreeFlow Core часто имеют доступ к сегментам внутренней сети, изолированным от прямого интернет-доступа, что позволяет атакующим использовать их в качестве плацдарма для продвижения вглубь инфраструктуры.
Вторая уязвимость, CVE-2025-8356, является классическим примером недостатка типа "Обход пути" (Path Traversal или Directory Traversal). Она возникает из-за некорректной обработки параметров, содержащих пути к файлам. Злоумышленник, манипулируя этими параметрами, может выйти за пределы предназначенного каталога приложения и получить доступ к произвольным файлам и директориям на файловой системе сервера. В данном случае последствия выходят далеко за рамки простого чтения файлов. Успешная эксплуатация CVE-2025-8356 позволяет атакующему достичь удаленного выполнения кода (RCE) с привилегиями пользователя, под которым работает служба FreeFlow Core. Это означает полный контроль над затронутой системой: возможность устанавливать вредоносное ПО, красть или шифровать данные (включая проходящие через систему печати документы), изменять конфигурации и использовать сервер для дальнейших атак внутри сети.
Обе уязвимости были обнаружены и ответственно раскрыты компании Xerox независимым исследователем безопасности Джими Себри (Jimi Sebree) из компании Horizon3.ai. Сотрудничество между исследователем и группой безопасности Xerox позволило проанализировать угрозы, разработать и протестировать корректирующие меры до того, как информация об уязвимостях стала достоянием широкой общественности. Такой подход минимизирует окно возможностей для злоумышленников, стремящихся эксплуатировать "нуль-дни".
Потенциальное воздействие этих уязвимостей на организации, использующие FreeFlow Core 8.0.4, оценивается как крайне высокое. Комбинация SSRF и RCE создает мощный тандем для злонамеренных действий. Злоумышленник, получив начальный доступ через SSRF, может затем использовать его для эксплуатации уязвимости Path Traversal и достижения полного контроля над сервером. Последствия успешной атаки могут включать в себя несанкционированный доступ к конфиденциальным документам и данным, хранящимся или обрабатываемым системой, шпионаж за внутренней сетью организации, масштабную эксфильтрацию данных, шифрование информации с целью вымогательства (ransomware) и полный захват инфраструктуры управления печатью и документооборотом. Учитывая центральную роль таких систем в бизнес-процессах многих компаний, простои или компрометация FreeFlow Core могут нанести значительный финансовый и репутационный ущерб.
Компания Xerox настоятельно рекомендует всем клиентам, использующим FreeFlow Core версии 8.0.4, немедленно обновиться до версии 8.0.5. Эта обновленная версия содержит исправления для обеих критических уязвимостей. Обновление доступно для загрузки исключительно через официальные каналы поддержки Xerox на сайте Xerox.com. Откладывание установки этого патча недопустимо из-за высокой вероятности эксплуатации уязвимостей в дикой природе после их публичного раскрытия. Помимо немедленного обновления, Xerox советует системным администраторам провести аудит своих развертываний FreeFlow Core. Ключевыми дополнительными мерами безопасности должны стать обеспечение строгой сетевой сегментации (ограничение доступа системы FreeFlow Core только к необходимым ресурсам в сети) и применение принципа минимальных привилегий как на уровне операционной системы, так и в сетевых настройках, чтобы минимизировать потенциальный ущерб в случае успешной атаки на другие компоненты инфраструктуры. Регулярный мониторинг журналов (логов) сервера FreeFlow Core на предмет подозрительной активности также является важной практикой раннего обнаружения инцидентов.
Ссылки
- https://nvd.nist.gov/vuln/detail/CVE-2025-8355
- https://nvd.nist.gov/vuln/detail/CVE-2025-8356
- https://www.cve.org/CVERecord?id=CVE-2025-8355
- https://www.cve.org/CVERecord?id=CVE-2025-8356
- https://securitydocs.business.xerox.com/wp-content/uploads/2025/08/Xerox-Security-Bulletin-025-013-for-Freeflow-Core-8.0.5.pdf
