漏洞描述

CUPS 是一个默认集成于诸多 Linux 发行版的开源打印系统，而 cups-browsed 包含网络打印功能，包括但不限于自动发现打印服务和共享打印机。

cups-browsed 默认监听 631 端口，由于受影响版本的 cups-browsed 未对数据包做校验，导致未授权攻击者可以组合利用 cups 的 libcupsfilters、libppd、cups-filters 的漏洞，最终通过 cups-filters 的 FoomaticRIPCommandLine 执行任何命令，目前官方尚未发布修复版本。

影响范围

cups_browsed@(-∞, 2.0.1]

修复方案

使用安全设备拦截暴露在公网的 631 UDP 端口

参考链接

https://www.oscs1024.com/hd/MPS-aub6-7vzr

https://nvd.nist.gov/vuln/detail/CVE-2024-47176