КиберосноваSGRC
BDU:2025-11589
Высокий

BDU:2025-11589: Уязвимость встроенного веб-сервера микропрограммного обеспечения принтеров Lexmark, позволяющая нарушителю выполнить произвольный код

CVSS v39.1
CVSS v29.0

Детали уязвимости BDU:2025-11589

Описание

Уязвимость встроенного веб-сервера микропрограммного обеспечения принтеров Lexmark связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Что делать с BDU:2025-11589

Высокая уязвимость (CVSS 9.1) должна быть устранена в приоритетном порядке. Рекомендуемый срок — 7 дней по приказу ФСТЭК №117. Проверьте список затронутого ПО ниже и запланируйте обновление.

Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.

Оценка критичности (CVSS)

v3.1
9.1Критический
Пересчитать →
v2
9.0
Только просмотр
AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:HAV:N/AC:L/Au:S/C:C/I:C/A:C

CWE — тип уязвимости

CVE — международный идентификатор

CWE-22
Обход каталогов

Позволяет получить доступ к файлам за пределами разрешённой директории через ../ последовательности.

Как атакуют и что делать ▾

Сценарий атаки

Через параметр пути передаётся ../../etc/passwd — сервер возвращает файл за пределами разрешённой директории.

Последствия

Чтение конфигураций, паролей, ключей. В некоторых случаях — запись произвольных файлов.

Рекомендации

Нормализуйте пути (realpath), используйте chroot/jail, запретите ../ в пользовательском вводе.

Тактики и техники

Манипулирование ресурсами
Манипулирование сроками и состоянием

Уязвимое ПО (173)

ВендорНазваниеВерсияПлатформа
Lexmark International Inc.CX950до CXTLS.240.205 включительноНе указана
Lexmark International Inc.CX951до CXTLS.240.205 включительноНе указана
Lexmark International Inc.XC9525до CXTLS.240.205 включительноНе указана
Lexmark International Inc.XC9535до CXTLS.240.205 включительноНе указана
Lexmark International Inc.MX953до MXTLS.240.205 включительноНе указана
Lexmark International Inc.CX961до CXTLS.240.205 включительноНе указана
Lexmark International Inc.CX962до CXTLS.240.205 включительноНе указана
Lexmark International Inc.CX963до CXTLS.240.205 включительноНе указана
Lexmark International Inc.XC9635до CXTLS.240.205 включительноНе указана
Lexmark International Inc.XC9645до CXTLS.240.205 включительноНе указана
Lexmark International Inc.XC9655до CXTLS.240.205 включительноНе указана
Lexmark International Inc.CS963до CSTLS.240.205 включительноНе указана
Lexmark International Inc.CX833до CXTLS.240.205 включительноНе указана
Lexmark International Inc.XC8355до CXTLS.240.205 включительноНе указана
Lexmark International Inc.MS531до MSNSN.240.205 включительноНе указана
Lexmark International Inc.MS631до MSNSN.240.205 включительноНе указана
Lexmark International Inc.MS632до MSTSN.240.205 включительноНе указана
Lexmark International Inc.M3350до MSTSN.240.205 включительноНе указана
Lexmark International Inc.MX532до MXTSN.240.205 включительноНе указана
Lexmark International Inc.MX632до MXTSN.240.205 включительноНе указана
Lexmark International Inc.XM3350до MXTSN.240.205 включительноНе указана
Lexmark International Inc.CS531до CSNGV.240.205 включительноНе указана
Lexmark International Inc.C2335до CSNGV.240.205 включительноНе указана
Lexmark International Inc.CS632до CSTGV.240.205 включительноНе указана
Lexmark International Inc.CX532до CXTGV.240.205 включительноНе указана
Lexmark International Inc.CX635до CXTGV.240.205 включительноНе указана
Lexmark International Inc.XC2335до CXTGV.240.205 включительноНе указана
Lexmark International Inc.CX930до CXTPC.240.205 включительноНе указана
Lexmark International Inc.CX931до CXTPC.240.205 включительноНе указана
Lexmark International Inc.CX942до CXTPC.240.205 включительноНе указана
Lexmark International Inc.CX943до CXTPC.240.205 включительноНе указана
Lexmark International Inc.CX944до CXTPC.240.205 включительноНе указана
Lexmark International Inc.XC9325до CXTPC.240.205 включительноНе указана
Lexmark International Inc.XC9335до CXTPC.240.205 включительноНе указана
Lexmark International Inc.XC9445до CXTPC.240.205 включительноНе указана
Lexmark International Inc.XC9455до CXTPC.240.205 включительноНе указана
Lexmark International Inc.XC9465до CXTPC.240.205 включительноНе указана
Lexmark International Inc.CS943до CSTPC.240.205 включительноНе указана
Lexmark International Inc.MX432до MXTCT.240.205 включительноНе указана
Lexmark International Inc.XM3142до MXTCT.240.205 включительноНе указана
Lexmark International Inc.MX931до MXTPM.240.205 включительноНе указана
Lexmark International Inc.CX730до CXTMM.240.205 включительноНе указана
Lexmark International Inc.CX735до CXTMM.240.205 включительноНе указана
Lexmark International Inc.CX737до CXTMM.240.205 включительноНе указана
Lexmark International Inc.XC4342до CXTMM.240.205 включительноНе указана
Lexmark International Inc.XC4352до CXTMM.240.205 включительноНе указана
Lexmark International Inc.CS730до CSTMM.240.205 включительноНе указана
Lexmark International Inc.CS735до CSTMM.240.205 включительноНе указана
Lexmark International Inc.CS737до CSTMM.240.205 включительноНе указана
Lexmark International Inc.C4342до CSTMM.240.205 включительноНе указана

Показано 50 из 173

Рекомендации по устранению

Использование рекомендаций производителя: https://support.lexmark.com/content/dam/support/collateral/security-alerts/CVE-2025-1127.pdf

SLA ФСТЭК №117

24 часа

по базовой оценке CVSS 9.1

Уточните SLA под вашу среду

Базовый балл 9.1 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.

Пересчитать CVSS с учётом среды

Threat Intelligence

SSVC: Приоритетное устранение

Высокий риск эксплуатации. Запланируйте устранение в ближайшем окне обновлений.

EPSS — вероятность эксплуатации0.5%

Вероятность эксплуатации в 30 дней (FIRST EPSS)

Информация

Обнаружена

2025-05-13

Опубликована

2025-09-24

Обновлена

2025-09-24

Эксплойт

Данные уточняются

Исправление

Уязвимость устранена

Статус

Подтверждена производителем

КиберОснова

Управляйте уязвимостями, а не таблицами

Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.

  • Уязвимости → активы → ответственные — цепочка за минуту
  • SLA-таймеры и эскалация — дедлайны не горят
  • PDF-отчёт для ФСТЭК — за один клик
Попробовать бесплатно

Связанные уязвимости

Источник: Банк данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru). Банк данных создан в соответствии с Приказом ФСТЭК России от 16.02.2015 №9. Данные общедоступны и предоставляются на безвозмездной основе. Оператор: ФАУ «ГНИИИ ПТЗИ ФСТЭК России».

Что добавляет КиберОснова к данным БДУ ФСТЭК

CVSS v4.0 + калькулятор

Единственный бесплатный калькулятор CVSS v4.0 на русском языке

SLA по приказу №117

Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн

EPSS + CISA KEV

Оценка вероятности эксплуатации и статус активных атак

Полнотекстовый поиск

По названию, CVE, CWE, описанию — русский и английский

Связанные уязвимости

Автоматический подбор по затронутому ПО

Мобильная версия

Адаптивный интерфейс для работы с телефона и планшета

Автоматизируйте управление уязвимостями

КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.

Калькулятор CVSS v4.0