Xerox Corporation vừa phát hành các bản cập nhật bảo mật quan trọng cho phần mềm FreeFlow Core, nhằm khắc phục hai lỗ hổng CVE nghiêm trọng. Các lỗ hổng này có thể cho phép kẻ tấn công thực hiện tấn công Server-Side Request Forgery (SSRF) và đạt được quyền remote code execution trên các hệ thống bị ảnh hưởng.

Hai lỗ hổng bảo mật, được định danh là CVE-2025-8355 và CVE-2025-8356, ảnh hưởng đến phiên bản FreeFlow Core 8.0.4. Chúng đã được phân loại là các lỗ hổng có mức độ nghiêm trọng “IMPORTANT” trong Bản tin Bảo mật XRX25-013, phát hành vào ngày 08 tháng 8 năm 2025.

Phân tích Lỗ hổng CVE-2025-8355: XML External Entity (XXE) và Server-Side Request Forgery (SSRF)

Lỗ hổng CVE-2025-8355 xuất phát từ lỗi xử lý XML External Entity (XXE). Lỗ hổng này tạo điều kiện cho các cuộc tấn công Server-Side Request Forgery (SSRF) diễn ra.

Tấn công XXE xảy ra khi một ứng dụng phân tích cú pháp XML chứa các tham chiếu đến các thực thể bên ngoài mà không thực hiện xác thực hoặc cấu hình bảo mật đúng đắn. Điều này cho phép kẻ tấn công chèn các thực thể XML độc hại vào đầu vào.

Khi khai thác thành công, kẻ tấn công có thể buộc máy chủ gửi các yêu cầu không mong muốn đến các tài nguyên nội bộ hoặc bên ngoài. Điều này tiềm ẩn nguy cơ làm lộ thông tin nhạy cảm hoặc truy cập vào các dịch vụ mạng bị hạn chế.

Cơ chế khai thác và Tác động của XXE qua SSRF

Cụ thể, thông qua lỗ hổng XXE, kẻ tấn công có thể:

• Đọc tệp tin cục bộ: Truy xuất các tệp tin hệ thống nhạy cảm như /etc/passwd hoặc cấu hình ứng dụng.
• Quét mạng nội bộ: Sử dụng máy chủ làm proxy để khám phá các cổng và dịch vụ đang chạy trên các máy chủ khác trong mạng nội bộ mà không thể truy cập trực tiếp từ bên ngoài.
• Thực hiện tấn công từ chối dịch vụ (DoS): Kích hoạt các yêu cầu vòng lặp vô hạn hoặc truy cập các tài nguyên hệ thống quá mức.

Trong môi trường doanh nghiệp, nơi các hệ thống FreeFlow Core có thể có quyền truy cập vào mạng nội bộ và các dịch vụ không trực tiếp tiếp xúc với Internet, lỗ hổng SSRF này đặc biệt nguy hiểm. Kẻ tấn công có thể lợi dụng quyền truy cập này để mở rộng phạm vi tấn công hoặc thu thập thông tin tình báo về cấu trúc mạng nội bộ.

Phân tích Lỗ hổng CVE-2025-8356: Path Traversal và Khả năng Remote Code Execution

Lỗ hổng CVE-2025-8356 liên quan đến một điểm yếu Path Traversal. Điểm yếu này có thể dẫn đến khả năng remote code execution, cho phép kẻ tấn công thực thi mã tùy ý từ xa trên hệ thống mục tiêu.

Lỗi Path Traversal, hay còn gọi là Directory Traversal, cho phép kẻ tấn công truy cập các tệp tin và thư mục nằm ngoài phạm vi được chỉ định bằng cách thao túng các tham số đường dẫn tệp tin. Các ký tự như ../ thường được sử dụng để vượt ra khỏi thư mục gốc của ứng dụng.

Cơ chế khai thác và Nguy cơ Remote Code Execution

Khi lỗ hổng này được khai thác thành công, kẻ tấn công có thể:

• Đọc các tệp cấu hình nhạy cảm: Truy xuất thông tin cấu hình chứa thông tin đăng nhập hoặc dữ liệu bí mật khác.
• Truy cập tài nguyên hệ thống: Đọc hoặc ghi vào các tệp tin hệ thống quan trọng.
• Thực thi mã tùy ý (Remote Code Execution): Trong các trường hợp nghiêm trọng, như trường hợp này, kẻ tấn công có thể tải lên hoặc ghi đè các tệp thực thi. Điều này cho phép họ chạy các lệnh tùy ý với quyền hạn của ứng dụng hoặc của hệ thống.

Sự kết hợp giữa Path Traversal và khả năng remote code execution biến lỗ hổng CVE này trở thành một mối đe dọa cực kỳ nguy hiểm, có thể dẫn đến việc kiểm soát hoàn toàn hệ thống.

Tầm quan trọng của Bản vá và Rủi ro bảo mật

Các lỗ hổng được phát hiện và báo cáo bởi nhà nghiên cứu bảo mật Jimi Sebree từ Horizon3.ai. Ông đã hợp tác chặt chẽ với đội ngũ bảo mật của Xerox để xác định và phát triển các biện pháp giảm thiểu cho những điểm yếu nghiêm trọng này.

Phương pháp tiết lộ có trách nhiệm này đã đảm bảo rằng các bản vá được phát triển và kiểm thử kỹ lưỡng trước khi các lỗ hổng CVE được công bố rộng rãi.

Các tổ chức đang sử dụng FreeFlow Core phiên bản 8.0.4 đang đối mặt với những rủi ro bảo mật đáng kể từ những lỗ hổng CVE nghiêm trọng này.

Khả năng kết hợp giữa SSRF và remote code execution có thể cho phép kẻ tấn công chiếm quyền kiểm soát toàn bộ hạ tầng quản lý tài liệu và in ấn. Điều này đặc biệt đáng lo ngại đối với các doanh nghiệp lớn.

Hậu quả tiềm tàng khi bị khai thác

Khai thác thành công có thể dẫn đến:

• Truy cập trái phép tài liệu nhạy cảm: Kẻ tấn công có thể xem, sao chép hoặc sửa đổi các tài liệu mật.
• Trinh sát mạng: Thu thập thông tin chi tiết về cấu trúc mạng nội bộ để lên kế hoạch cho các cuộc tấn công tiếp theo.
• Rò rỉ dữ liệu: Đánh cắp dữ liệu quan trọng và nhạy cảm từ hệ thống.
• Chiếm quyền kiểm soát hệ thống hoàn toàn: Kẻ tấn công có thể thiết lập quyền truy cập vĩnh viễn và thực hiện các hoạt động độc hại khác.

Khả năng xoay trục từ hệ thống FreeFlow Core sang các hệ thống nội bộ khác là một mối lo ngại lớn, đặc biệt khi hệ thống này có thể hoạt động như một điểm truy cập vào các phân đoạn mạng được bảo vệ khác.

Giải pháp và Khuyến nghị Cập nhật

Xerox khuyến nghị mạnh mẽ tất cả người dùng FreeFlow Core phiên bản 8.0.4 phải cập nhật bản vá ngay lập tức lên phiên bản 8.0.5.

Phiên bản 8.0.5 chứa các bản vá cho cả hai lỗ hổng CVE này và đã được phát hành chính thức. Phần mềm cập nhật có sẵn để tải xuống từ Xerox.com thông qua các kênh hỗ trợ chính thức của công ty.

Các tổ chức cần ưu tiên cập nhật này do tính chất nghiêm trọng của các lỗ hổng và tác động an ninh tiềm tàng.

Ngoài việc cập nhật bản vá, các quản trị viên hệ thống cũng nên xem xét lại việc triển khai FreeFlow Core của mình. Đảm bảo rằng các biện pháp phân đoạn mạng phù hợp và kiểm soát truy cập chặt chẽ đã được thiết lập như các biện pháp phòng thủ bổ sung.

Tham khảo Bản tin Bảo mật XRX25-013 của Xerox để biết thêm chi tiết kỹ thuật và hướng dẫn cập nhật: Xerox Security Bulletin XRX25-013.