Компания PaperCut выпустила обновление безопасности для компонента Print Deploy Client, закрывающее уязвимость, которая могла позволить локальному злоумышленнику выполнить произвольный код с максимальными системными правами. Проблеме присвоен идентификатор CVE-2026-6645, её базовый рейтинг по шкале CVSS 4.0 составляет 7,3 балла (HIGH). Сообщение опубликовано в официальном бюллетене безопасности от 22 июня 2026 года.
Уязвимость CVE-2026-6645
Уязвимость затрагивает Windows-клиенты Print Deploy версий, предшествующих v2699, и серверную версию Print Deploy до 1.10.4178 включительно. Проблема кроется в компоненте pc-printer-updater.exe, который обычно работает с высокими системными привилегиями. При выполнении внутренней проверки программа обращается к вспомогательной системной утилите, но использует неполный путь - без указания абсолютного расположения файла.
В результате операционная система ищет исполняемый файл в соответствии с порядком поиска, заданным в переменных окружения. При определённых условиях локальный пользователь, имеющий право записи в одну из директорий, включённых в системный путь поиска, может разместить там вредоносный файл с именем, совпадающим с ожидаемой утилитой. Если pc-printer-updater.exe запустится в контексте с привилегиями SYSTEM, то зловредный код также будет выполнен с этими правами, что фактически означает полное заражение хоста.
В бюллетене подчёркивается, что для эксплуатации требуется специфическая и нетипичная конфигурация системы: в директории, доступные для записи обычным пользователям и входящие в стандартный путь поиска, должен быть разрешён запуск произвольных исполняемых файлов. Исследователь, сообщивший об уязвимости, отметил, что при таких условиях злоумышленнику, скорее всего, было бы проще воспользоваться другими, более прямыми способами захвата системы, однако PaperCut решил устранить и эту потенциальную точку входа.
Уязвимость обнаружена в ходе внутреннего аудита и последующего внешнего тестирования в рамках политики ответственного раскрытия. Компания заявляет, что на момент публикации бюллетеня им неизвестно о случаях эксплуатации данной проблемы в реальных атаках. Выпуск исправления является упреждающей мерой.
PaperCut рекомендует всем пользователям, использующим функциональность Print Deploy, проверить версию клиента. Если клиенты обновляются автоматически (это стандартная настройка), то актуальная версия v2699 будет установлена после выхода серверного обновления Print Deploy до версии 1.10.4178. Для сред, где автоматическое обновление отключено, необходимо вручную загрузить и установить последнюю версию клиента Print Deploy.
Проблема классифицирована как CWE-427 - неконтролируемый элемент пути поиска. Это один из распространённых классов уязвимостей, связанных с небезопасным вызовом внешних утилит. Вектор атаки - локальный (AV:L), сложность низкая (AC:L), но присутствует требование к наличию предварительных условий (AT:P) и привилегий у атакующего (PR:L). Воздействие на конфиденциальность, целостность и доступность оценивается как высокое как для основной системы, так и для среды, в которой она работает (SC:H, SI:H, SA:H).
Важно, что исправление требует обновления именно клиентского компонента Print Deploy, а не серверной части PaperCut NG или MF. Если организация развернула Print Deploy через групповые политики или системы централизованного управления, администраторам следует убедиться, что автообновление не заблокировано. В противном случае устройство останется уязвимым до тех пор, пока не будет установлена новая версия клиента вручную.
PaperCut обращает внимание, что обновление затрагивает все линейки продуктов: PaperCut NG, MF, Pocket и Hive, но уязвимость существует только в Windows-версии Print Deploy Client. Пользователи других операционных систем проблеме не подвержены.
Исправление уже включено в релизную ветку v2699 и серверную сборку 1.10.4178. Ссылка на бюллетень и подробные инструкции по обновлению доступны на официальном сайте производителя.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-6645
- https://www.papercut.com/kb/Main/papercut-ng-mf-security-bulletin-june-2026/
