Các nhà nghiên cứu bảo mật đã công bố thông tin về những lỗ hổng CVE nghiêm trọng trong Xerox FreeFlow Core. Những lỗ hổng CVE này cho phép kẻ tấn công từ xa, không cần xác thực, thực thi mã tùy ý trên các hệ thống dễ bị ảnh hưởng. Sự xuất hiện của các mã khai thác (PoC) công khai đã đặt ra mối lo ngại cấp bách cho các tổ chức sử dụng nền tảng điều phối in ấn phổ biến này.

Phát Hiện Và Phân Tích Kỹ Thuật

Quá Trình Khám Phá Lỗ Hổng

Công ty an ninh mạng Horizon3.ai đã phát hiện hai lỗ hổng CVE nghiêm trọng trong Xerox FreeFlow Core. Các lỗ hổng này bao gồm một lỗi XML External Entity (XXE) injection, được định danh là CVE-2025-8355, và một lỗ hổng CVE về duyệt thư mục (path traversal), được gán mã CVE-2025-8356.

Cả hai lỗ hổng CVE này đều cho phép kẻ tấn công đạt được khả năng remote code execution mà không yêu cầu bất kỳ xác thực nào. Điều này khiến chúng trở nên đặc biệt nguy hiểm đối với các hệ thống được triển khai và truy cập từ internet.

Việc phát hiện bắt nguồn từ một yêu cầu hỗ trợ khách hàng bất thường. Nền tảng NodeZero của Horizon3.ai đã phát hiện các cuộc gọi lại (callback) khai thác XXE từ một máy chủ mà lẽ ra không chứa phần mềm dễ bị tổn thương. Sự bất thường này đã thúc đẩy một cuộc điều tra sâu hơn, cuối cùng hé lộ mức độ ảnh hưởng rộng rãi của các lỗ hổng CVE trong các cài đặt FreeFlow Core.

Để biết thêm chi tiết về quá trình khám phá, bạn có thể tham khảo báo cáo của Horizon3.ai tại From Support Ticket to Zero-Day.

Chi Tiết Lỗ Hổng Và Vectơ Tấn Công

Xerox FreeFlow Core là một nền tảng điều phối in ấn toàn diện, được triển khai chủ yếu trong các xưởng in thương mại, nhà cung cấp bao bì, trường đại học và cơ quan chính phủ xử lý các hoạt động in ấn quy mô lớn.

Kiến trúc phức tạp của nền tảng này bao gồm nhiều dịch vụ, trong đó dịch vụ JMF Client trên cổng 4004 là vectơ tấn công chính. Lỗ hổng CVE-2025-8355, liên quan đến XXE injection, khai thác việc phân tích cú pháp XML không đúng cách trong hệ thống xử lý thông điệp JMF (Job Message Format).

Kẻ tấn công có thể gửi các yêu cầu XML độc hại để thực hiện tấn công giả mạo yêu cầu phía máy chủ (Server-Side Request Forgery – SSRF) và truy cập thông tin hệ thống nhạy cảm. Đây là một điểm khởi đầu quan trọng cho các chuỗi tấn công phức tạp hơn.

Nghiêm trọng hơn, lỗ hổng CVE-2025-8356, thuộc dạng path traversal, trong cơ chế xử lý tệp tin. Lỗ hổng này cho phép kẻ tấn công tải lên các webshell vào các thư mục có thể truy cập công khai. Việc này cung cấp quyền truy cập từ xa ngay lập tức vào các hệ thống đã bị xâm nhập, dẫn đến khả năng remote code execution toàn diện.

Tác Động Và Rủi Ro Bảo Mật

Sự kết hợp của các lỗ hổng CVE này tạo ra một mục tiêu đặc biệt hấp dẫn cho tội phạm mạng. Các quy trình làm việc in ấn thường chứa các tài liệu tiếp thị chưa phát hành và thông tin nhạy cảm của công ty. Điều này làm tăng giá trị của dữ liệu đối với những kẻ tấn công.

Yêu cầu của nền tảng về quyền truy cập mạng tương đối mở càng làm gia tăng mức độ rủi ro. Khả năng remote code execution không cần xác thực có nghĩa là một hệ thống FreeFlow Core được kết nối internet có thể bị chiếm quyền điều khiển hoàn toàn.

Biện Pháp Khắc Phục Và Cập Nhật

Bản Vá Và Lịch Trình Công Bố

Xerox đã xử lý cả hai lỗ hổng CVE này trong phiên bản FreeFlow Core 8.0.5, được phát hành vào ngày 8 tháng 8 năm 2025. Quá trình này tuân thủ một quy trình công bố có trách nhiệm, bắt đầu từ tháng 6 năm 2025 do Horizon3.ai khởi xướng.

Công ty đã hợp tác chặt chẽ với các nhà nghiên cứu trong hơn hai tháng để phát triển và kiểm tra các bản vá trước khi công bố công khai. Lịch trình công bố này thể hiện các thực tiễn tốt nhất trong ngành. Việc liên hệ ban đầu được thiết lập vào tháng 6, xác nhận lỗ hổng và phát triển bản vá trong suốt tháng 7, và công bố công khai phối hợp vào tháng 8.

Cách tiếp cận có tính toán này đã cho phép Xerox có đủ thời gian để phát triển các bản sửa lỗi toàn diện. Đồng thời, nó cũng đảm bảo rằng cộng đồng an ninh nhận được thông báo kịp thời về các rủi ro.

Khuyến Nghị Bảo Mật

Các tổ chức đang vận hành FreeFlow Core được khuyến nghị mạnh mẽ nâng cấp ngay lập tức lên phiên bản 8.0.5. Với việc các mã khai thác PoC đã được công khai và mức độ nghiêm trọng của các lỗ hổng CVE, việc trì hoãn việc cập nhật bản vá có thể dẫn đến việc hệ thống bị xâm nhập hoàn toàn.

Các đội ngũ an ninh nên ưu tiên quét tìm các cài đặt FreeFlow Core dễ bị tổn thương. Đồng thời, cần triển khai các bản vá khẩn cấp ở những nơi không thể nâng cấp ngay lập tức. Đây là một bước quan trọng để giảm thiểu rủi ro và bảo vệ hệ thống khỏi các cuộc tấn công tiềm tàng khai thác những lỗ hổng CVE này.