发布日期：2013-10-15
更新日期：2013-10-17

受影响系统：

HP LaserJet Pro P1606dn
HP LaserJet Pro P1102w
HP LaserJet Pro M1218nfs MFP
HP LaserJet Pro M1217nfw MFP
HP LaserJet Pro M1216nfh MFP
HP LaserJet Pro M1214nfh MFP
HP LaserJet Pro M1213nf MFP
HP LaserJet Pro M1212nf MFP
HP LaserJet Pro CP1025nw

描述：

---

惠普是全球领先高科技提供商，提供笔记本、台式电脑、工作站等全线产品。

部分联网的HP激光打印机在固件内含有硬编码的URL。这些URL（例如：http://ip_address/dev/save_restore.xml、http://ip_address:8080/IoMgmt/Adapters/wifi0/WPS/Pin）无需身份验证即可访问，然后从中获取纯文本管理员密码及其他诸如WiFi设置之类的信息。受影响设备包括但不限于下列版本：HP LaserJet Pro P1102w, HP LaserJet Pro P1606dn, HP LaserJet Pro CP1025nw, HP LaserJet Pro M1212nf MFP, HP LaserJet Pro M1213nf MFP, HP LaserJet Pro M1214nfh MFP, HP LaserJet Pro M1216nfh MFP, HP LaserJet Pro M1217nfw MFP, HP LaserJet Pro M1218nfs MFP

<*来源：michal.sajdak@securitum.pl
  
  链接：http://seclists.org/bugtraq/2013/Aug/28
        http://sekurak.pl/hp-laserjet-pro-printers-remote-admin-password-extraction/
*>

建议：

---

厂商补丁：

HP
--
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://itrc.hp.com
https://h20566.www2.hp.com/portal/site/hpsc/template.PAGE/public/kb/docDisplay/?javax.portlet.begCacheTok=com.vignette.cachetoken&javax.portlet.endCacheTok=com.vignette.cachetoken&javax.portlet.prp_ba847bafb2a2d782fcbb0710b053ce01=wsrp-navigationalState%3DdocId%253Demr_na-c03825817-1%257CdocLocale%253D%257CcalledBy%253D&javax.portlet.tpst=ba847bafb2a2d782fcbb0710b053ce01&ac.admitted=1375697666155.876444892.199480143

浏览次数：3990
严重程度：0（网友投票）