关键漏洞信息 CVE编号: CVE-2024-47177 漏洞描述: 通过FoomaticRIPCommandLine PPD参数在cups-filters中执行任意命令。 产品: SUSE Security Incidents 组件: Incidents 优先级: P3 - Medium 严重性: Normal 报告人: Marcus Meissner 报告时间: 2024-09-24 07:56 UTC 修改时间: 2025-05-09 06:21 UTC 相关URL: https://rsmsash.suse.de/issue/421821 详细描述 问题概述: Foomatic-rip在cups-filters中允许通过FoomaticRIPCommandLine PPD参数执行任意命令。 初始报告: 该漏洞最初作为Bug #1230900的克隆创建。 CRD: 2024-10-06 讨论 Marcus Meissner (2025-04-29): - FoomaticRIPCommand和FoomaticRIPCommandLinePDF直接通过shell执行传递的命令。 - 尽管可以尝试过滤字符,但由于参数/代码注入的可能性太多,很难确保安全。 Marcus Meissner (2025-05-05): - 向CNA(github)提交了REJECT请求,理由是该选项旨在执行代码,因此不是安全漏洞。 - 安全问题在于非管理员可以修改/注入这些字符串,且已有针对CUPS利用链的CVE。 Johannes Meixner (2025-05-09): - 提供了上游关于REJECT请求的GitHub链接: https://github.com/OpenPrinting/cups-filters/issues/637