Xerox vydal bezpečnostné záplaty pre vysoko závažné zraniteľnosti CVE-2025-8355 a CVE-2025-8356

Spoločnosť Xerox vydala urgentné bezpečnostné varovanie týkajúce sa dvoch kritických zraniteľností v softvéri FreeFlow Core. Tieto zraniteľnosti umožňujú útočníkom vykonať útoky Server-Side Request Forgery (SSRF) a vzdialene vykonávať kód.

Zraniteľné systémy:

• Xerox FreeFlow Core verzia 8.0.4

Opis zraniteľnosti:

CVE-2025-8355 (CVSS 3.1 skóre 7,5)

Zraniteľnosť súvisí s nesprávnym spracovaním a sanitizáciou externých entít XML (XXE). Útočník môže túto zraniteľnosť zneužiť vytvorením škodlivého XML obsahujúceho interné URL a vykonanie útokov typuServer-Side Request Forgery.

CVE-2025-8356 (CVSS 3.1 skóre 9,8)

Kritická zraniteľnosť typu Path Traversal umožňuje útočníkom pristupovať k súborom mimo určeného rozsahu aplikácie manipuláciou parametrov cesty súborov. Jej zneužitie môže viesť k vzdialenému vykonávaniu kódu.

Možné škody:

• Vzdialené vykonávanie kódu (RCE)
• Server-Side Request Forgery (SSRF)
• Neoprávnené prechádzanie adresárovej štruktúry
• Únik citlivých údajov
• Úplne narušenie dôveryhodnosti služby

Odporúčania:

Administrátorom a používateľom odporúčame vykonať bezodkladnú aktualizáciu zasiahnutých systémov na FreeFlow Core verziu 8.0.5 dostupnú na stránke výrobcu, ktorá obsahuje opravy pre obe zraniteľnosti.

Navyše odporúčame implementovať striktné overovanie vstupov ako zakázanie spracovávania externého XML kódu či súborov, okrem tých zo zoznamu povolených položiek (whitelist).

Zdroje:

• https://nvd.nist.gov/vuln/detail/CVE-2025-8355
• https://nvd.nist.gov/vuln/detail/CVE-2025-8356
• https://securitydocs.business.xerox.com/wp-content/uploads/2025/08/Xerox-Security-Bulletin-025-013-for-Freeflow-Core-8.0.5.pdf
• https://thecyberexpress.com/xerox-fixes-cve-2025-8355-and-8356/
• https://cyberpress.org/xerox-freeflow-flaws/