Para hoy 10 de abril del 2023 Los equipos de DEVCORE Research Team y Neodyme, en colaboración con Trend Micro ZDI, han reportado 3 vulnerabilidades de severidad alta en impresoras LaserJet Pro de HP.

Recursos afectados:

• HP Color LaserJet MFP M478-M479 series, modelos: W1A75A, W1A76A, W1A77A, W1A81A, W1A82A, W1A79A, W1A80A y W1A78A.
• HP Color LaserJet Pro M453-M454 series, modelos: W1Y40A, W1Y41A, W1Y46A, W1Y47A, W1Y44A, W1Y45A y W1Y43A.
• HP LaserJet Pro M304-M305 Printer series, modelos: W1A66A, W1A46A, W1A47A y W1A48A.
• HP LaserJet Pro M404-M405 Printer series, modelos: W1A51A, W1A53A, W1A56A, W1A63A, W1A52A, 93M22A, W1A58A, W1A59A, W1A60A y W1A57A.
• HP LaserJet Pro MFP M428-M429 f series, modelos: W1A29A, W1A32A, W1A30A, W1A38A, W1A34A y W1A35A.
• HP LaserJet Pro MFP M428-M429 series, modelos: W1A28A, W1A31A y W1A33A.

Detalles:
La explotación de las vulnerabilidades detectadas podría permitir a un atacante realizar un desbordamiento de pila/montículo, una ejecución remota de código o una escalada de privilegios. Se han asignado los identificadores CVE-2023-27973, CVE-2023-27971 y CVE-2023-27972 para estas vulnerabilidades.

Solución:
Actualizar el firmware de los productos afectados a la versión 002_2310A o superiores.

Referencias:
Certain HP LaserJet Pro Print Products - Potential Heap Overflow, Remote Code Execution https://support.hp.com/us-en/document/ish_7920137-7920161-16/hpsbpi03841
Certain HP LaserJet Pro Print Products - Potential Buffer Overflow, Elevation of Privilege https://support.hp.com/us-en/document/ish_7919962-7920003-16/hpsbpi03839
Certain HP LaserJet Pro Print Products - Potential Buffer Overflow, Remote Code Execution https://support.hp.com/us-en/document/ish_7920078-7920104-16/hpsbpi03840