发布日期：2006-11-30
更新日期：2006-12-01

受影响系统：

Xerox WorkCentre Pro 275
Xerox WorkCentre Pro 265
Xerox WorkCentre Pro 255
Xerox WorkCentre Pro 245
Xerox WorkCentre Pro 238
Xerox WorkCentre Pro 232
Xerox WorkCentre 275
Xerox WorkCentre 265
Xerox WorkCentre 255
Xerox WorkCentre 245
Xerox WorkCentre 238
Xerox WorkCentre 232

描述：

---

BUGTRAQ  ID: 21365
CVE(CAN) ID: CVE-2006-6427

Xerox WorkCentre是一款数码打印复印一体机。

Xerox WorkCentre的ESS/Network Controller和MicroServer Web Server代码中存在多个安全漏洞，具体如下：

* Web用户接口上的TCP/IP用户名存在命令注入漏洞；
* Web用户接口上的Scan-to-mailbox文件夹名称字段存在命令注入漏洞；
* Web用户接口上的Microsoft Networking配置参数存在命令注入漏洞；
* 浏览器权限可能允许非授权访问；
* TFTP/BOOTP自动配置选项可能允许非授权的配置设置；
* 可使用HTTP而不是HTTPS发布Web服务请求；
* 可以劫持邮件消息签名显示不正确的项；
* Scan-to-mailbox功能可能允许匿名未经验证下载安全的文件；
* 设备无法保持精确的时间，因此审计日志中的时间戳不正确。

成功利用这些漏洞的攻击者可以获得非授权访问或更改系统配置。

<*来源：XEROX
  
  链接：http://a1851.g.akamaitech.net/f/1851/2996/24h/cacheB.xerox.com/downloads/usa/en/c/cert_XRX06_006_v1.
*>

建议：

---

厂商补丁：

Xerox
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.xerox.com/downloads/usa/en/c/cert_XRX06_006_v1b.pdf

浏览次数：2821
严重程度：0（网友投票）