Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en PaperCut NG/MF (CVE-2024-8404)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-59 Incorrecta resolución de una ruta antes de aceder a un fichero (Seguimiento de enlaces)
Fecha de publicación:
26/09/2024
Última modificación:
13/05/2025

Descripción

Existe una vulnerabilidad de eliminación arbitraria de archivos en PaperCut NG/MF, que afecta específicamente a servidores Windows con Web Print habilitado. Para explotar esta vulnerabilidad, un atacante primero debe obtener acceso de inicio de sesión local al servidor Windows que aloja PaperCut NG/MF y ser capaz de ejecutar código con privilegios bajos directamente en el servidor a través de la carpeta activa de impresión web. Importante: En la mayoría de las instalaciones, este riesgo se mitiga con la configuración predeterminada de Windows Server, que restringe el acceso de inicio de sesión local solo a los administradores. Sin embargo, esta vulnerabilidad podría representar un riesgo para los clientes que permiten que usuarios no administrativos inicien sesión en la consola local del entorno Windows que aloja el servidor de aplicaciones PaperCut NG/MF. Nota: Esta CVE se ha separado de CVE-2024-3037.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:papercut:papercut_mf:*:*:*:*:*:*:*:* 23.0.9 (excluyendo)
cpe:2.3:a:papercut:papercut_ng:*:*:*:*:*:*:*:* 23.0.9 (excluyendo)