【安全漏洞公告】HP LaserJet打印机信息泄露漏洞（CVE-2023-1707）

一、漏洞简介

HP（惠普）是全球知名的信息科技（IT）企业，其主营业务包括信息产品、打印及成像系统和企业计算机专业服务。

当某些HP Enterprise LaserJet 和 HP LaserJet Managed 打印机运行FutureSmart 固件版本5.6并启用 IPsec 时，存在信息泄露漏洞，可能导致威胁者访问易受攻击的HP 打印机与网络上其他设备之间传输的敏感信息。

二、影响范围

HP Color LaserJet Enterprise M455

HP Color LaserJet Enterprise MFP M480

HP Color LaserJet Managed MFP E47528、 E785dn、E78523、E78528

HP Color LaserJet Managed E45028

HP Color LaserJet Managed MFP E786、HP Color LaserJet Managed Flow MFP E786、HP Color LaserJet Managed MFP E78625/30/35、HP Color LaserJet Managed Flow MFP E78625/30/35

HP Color LaserJet Managed MFP E877、E87740/50/60/70、HP Color LaserJet Managed Flow E87740/50/60/70

HP LaserJet Enterprise M406、M407

HP LaserJet Enterprise MFP M430、M431

HP LaserJet Managed MFP E42540

HP LaserJet Managed MFP E730、HP LaserJet Managed MFP E73025、E73030

HP LaserJet Managed MFP E731、HP LaserJet Managed Flow MFP M731、HP LaserJet Managed MFP E73130/35/40、HP LaserJet Managed Flow MFP E73130/35/40

HP LaserJet Managed MFP E826dn、HP LaserJet Managed Flow MFP E826z、HP LaserJet Managed E82650/60/70、HP LaserJet Managed E82650/60/70

三、解决措施

惠普表示，解决该漏洞的固件更新将在 90 天内发布，因此目前没有可用的修复程序，对于运行 FutureSmart 5.6 的客户，建议的缓解措施是将其固件版本降级到 FS 5.5.0.3。

“惠普建议立即恢复到以前版本的固件（FutureSmart 版本 5.5.0.3）。预计将在 90 天内更新固件以解决该问题。” 惠普官方声明，此外，还建议用户从HP 官方下载门户获取固件包，在那里他们可以选择自己的打印机型号并获取相关软件。

四、参考链接

https://support.hp.com/us-en/document/ish_7905330-7905358-16/hpsbpi03838

https://www.bleepingcomputer.com/news/security/hp-to-patch-critical-bug-in-laserjet-printers-within-90-days/