Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en FreeFlow Core de Xerox Corporation

Fecha de publicación 19/03/2026
Identificador
INCIBE-2026-203
Importancia
5 - Crítica
Recursos Afectados
  • Versiones anteriores a la 8.1.0;
  • Versiones comprendidas entre 7.0.0 y 7.0.11.
Descripción

Xerox Corporation junto con FUJIFILM Business Innovation han reportado 2 vulnerabilidades, 1 crítica y 1 alta que, en caso de ser explotada, podrían permitir a un atacante ejecutar código arbitrario y enviar solicitudes HTTP a un recurso remoto.

Solución

Se recomienda actualizar a la versión 8.1.0. 

Para las versiones 7.x.x FUJIFILM Business Innovation está en proceso de publicar la actualización pertinente. Por el momento, se recomienda seguir las mitigaciones propuestas FUJIFILM, accesible en los enlaces de las referencias.

Detalle
  • CVE-2026-2251: restricción incorrecta de una ruta de acceso a un directorio restringido (Path Traversal), permite el acceso no autorizado a otras rutas, lo que podría dar lugar a un atacante a ejecutar código remoto (RCE).
  • CVE-2026-2252: vulnerabilidad de entidad externa XML (XXE) que permite a un usuario malintencionado llevar a cabo una falsificación de solicitud del lado del servidor (SSRF) mediante una entrada XML manipulada que contenga referencias a entidades externas maliciosas.
CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-2251 Crítica No Xerox Corporation
CVE-2026-2252 Alta No Xerox Corporation
Listado de referencias
Multiple vulnerabilities in Xerox FreeFlow Core (XRX26-005)
Notification about the vulnerability in Xerox FreeFlow Core
Etiquetas