Inmersión profunda: Navegando por la vulnerabilidad crítica CUPS en sistemas GNU-Linux
Los usuarios de Linux no lo han tenido fácil últimamente, con varias vulnerabilidades de alta gravedad que han afectado al sistema de diversas maneras en los últimos años. Los investigadores de seguridad tienen ahora otro grupo de vulnerabilidades que desentrañar, todas ellas relacionadas con la función Common UNIX Printing System (CUPS) dirigida a sistemas GNU/Linux con una vía potencial para una potente Ejecución Remota de Código (RCE).
El 27 de septiembre de 2024, Simone Margaritelli de evilsocket.net publicó información crítica sobre varias vulnerabilidades explotables en CUPS, con CVEs posteriormente asignados a cuatro de ellas. Este número podría aumentar, pero en el momento de escribir estas líneas, la comunidad de seguridad está debatiendo la gravedad real de estos descubrimientos. Mientras que uno de los CVEs, CVE-2024-47177, tiene una calificación actual de gravedad crítica de 9.1 de MITRE, la manipulación exitosa de este fallo de inyección de comandos depende de servidores con el servicio CUPS habilitado y, además, requiere acceso al puerto UDP 631 o DNS-SD. RedHat señala, sin embargo, que es posible reasignar CUPS a un puerto diferente.
El exhaustivo desglose del incidente realizado por Margaritelli revela una insidiosa y compleja cadena de ataques que, a pesar de los desacuerdos de la comunidad, no debe ignorarse. Nos ofrece una lección sobre dependencias aparentemente inocuas que pueden explotarse en profundidad si un actor de la amenaza está lo suficientemente decidido y si se han dejado pequeñas ventanas de oportunidad abiertas por patrones de codificación deficientes.
El escenario de CUPS es un poco diferente de lo que muchos desarrolladores y profesionales de AppSec pueden haber experimentado previamente, así que vamos a echar un vistazo y poner a prueba tus habilidades en el camino.
La vulnerabilidad: Ejecución remota de código (RCE) a través de CUPS
El blog Evilsocket proporciona una información inigualable y exhaustiva sobre estos exploits, y es un recurso que seguiremos de cerca. Margaritelli también cita una fuente anónima en su artículo, que no parece optimista sobre la solidez general de la seguridad de Linux:
"Desde un punto de vista de seguridad genérico, todo un sistema Linux tal y como es hoy en día no es más que un lío interminable y sin remedio de agujeros de seguridad esperando a ser explotados."
Se trata de un recordatorio aleccionador de los riesgos de seguridad inherentes que siguen prevaleciendo en los entornos de código abierto, por no mencionar la urgente necesidad de una mayor concienciación en materia de seguridad y de conocimientos de codificación segura entre la comunidad mundial de desarrolladores.
Echemos un vistazo a los CVE:
Lacadena de vulnerabilidades está muy extendida, y actualmente afecta a todas las versiones actuales y anteriores de los siguientes paquetes:
- distrotech/tazas-filtros
- OpenPrinting/tazas-filtros
- Cups-browsed
- libcupsfilters
- libppd
CUPS ha sido un componente heredado de los sistemas operativos UNIX y Linux durante más de dos décadas. Su función como dependencia de servicios de impresión hace que esté ansioso por realizar peticiones de red, lo que lo convierte en un objetivo principal para las vulnerabilidades de clase RCE.
En este caso, sin embargo, hay algo de ingenio en la forma en que los ataques se combinan para proporcionar un resultado exitoso. Se trata esencialmente de la capacidad de un atacante no autenticado y no detectado para sustituir las URL del Protocolo de Impresión por Internet (IPP) por otras maliciosas, además de modificar directivas que pueden provocar la inyección de comandos en el "archivo PPD (PostScript Printer Description)", que es un archivo utilizado para describir las características de la impresora recién añadida. Esto resulta en un ataque de ejecución de comandos una vez que se activa un trabajo de impresión, y se basa en una falta de validación de entrada dentro de los componentes de CUPS.
Además, solucionar esta vulnerabilidad en particular crea una especie de arma de doble filo, como señala Evilsocket. CUPS incluye el filtro foomatic-rip, un ejecutable con un historial previo como componente explotable de alto riesgo. Las CVE relacionadas con este componente se remontan a 2011, y aunque se ha establecido que foomatic-rip puede aprovecharse para ejecutar comandos del sistema operativo, solucionarlo causa problemas de estabilidad y pérdida de compatibilidad con muchas impresoras antiguas. Se trata de un problema complejo de superar.

- El actor de la amenaza inicia el ataque
- CVE-2024-47176: cups-browsed <= 2.0.1 is vulnerable because it binds to UDP port 631 using INADDR_ANY, which means it trusts any packet received from any source. This allows an unauthenticated remote attacker to send a malicious UDP packet with a manipulated IPP URL (pointing to the attacker-controlled IPP server), triggering the vulnerability. The victim’s machine now thinks it’s connecting to a new printer and sends a request asking for printer attributes.
- El sistema víctima procesa los atributos de la impresora
- CVE-2024-47076: libcupsfilters <= 2.1b1 has a vulnerability in cfGetPrinterAttributes5, which does not properly validate or sanitize the IPP attributes returned from an IPP server. When cups-browsed processes the packet, it can be tricked into reading malicious attributes sent by the attacker.
- El sistema víctima se conecta al servidor IPP del atacante-controlador
- CVE-2024-47175: libppd <= 2.1b1 in the ppdCreatePPDFromIPP2 function does not properly validate or sanitize IPP attributes when saving them to a temporary PPD (PostScript Printer Description) file. This allows the attacker to inject arbitrary data into a PPD file, including the FoomaticRIPCommandLine directive, which the printing system can later execute.
- Victim system initiates print job and attacker’s code is executed
CVE-2024-47177: cups-filters <= 2.0.1 is vulnerable because the foomatic-rip filter executes arbitrary commands through the FoomaticRIPCommandLine directive, allowing the attacker to run commands as the cups-browsed process. The attacker waits for the victim’s machine to initiate a print job. The moment this happens, the attacker’s malicious code will be executed (Remote Code Execution).
¿Cómo mitigar el riesgo de RCE?
Las empresas que utilicen CUPS como parte de sus operaciones comerciales deben seguir los consejos de corrección recomendados por Evilsocket y RedHat. Esto incluye, pero no se limita a, la aplicación de parches de seguridad como una prioridad de nivel de emergencia.
Para la inyección de comandos en general, consulte nuestra guía completa.
Si está interesado en obtener más directrices de codificación gratuitas, consulte Secure Code Coach, que le ayudará a mantenerse al día de las mejores prácticas de codificación segura.


Descubra los últimos retos de seguridad a los que se enfrentan los usuarios de Linux mientras exploramos las recientes vulnerabilidades de alta gravedad en el Sistema de Impresión UNIX Común (CUPS). Aprenda cómo estos problemas pueden conducir a una potencial ejecución remota de código (RCE) y lo que puede hacer para proteger sus sistemas.

Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónLaura Verheyde es una desarrolladora de software en Secure Code Warrior centrada en la investigación de vulnerabilidades y la creación de contenidos para Missions y Coding labs.


Los usuarios de Linux no lo han tenido fácil últimamente, con varias vulnerabilidades de alta gravedad que han afectado al sistema de diversas maneras en los últimos años. Los investigadores de seguridad tienen ahora otro grupo de vulnerabilidades que desentrañar, todas ellas relacionadas con la función Common UNIX Printing System (CUPS) dirigida a sistemas GNU/Linux con una vía potencial para una potente Ejecución Remota de Código (RCE).
El 27 de septiembre de 2024, Simone Margaritelli de evilsocket.net publicó información crítica sobre varias vulnerabilidades explotables en CUPS, con CVEs posteriormente asignados a cuatro de ellas. Este número podría aumentar, pero en el momento de escribir estas líneas, la comunidad de seguridad está debatiendo la gravedad real de estos descubrimientos. Mientras que uno de los CVEs, CVE-2024-47177, tiene una calificación actual de gravedad crítica de 9.1 de MITRE, la manipulación exitosa de este fallo de inyección de comandos depende de servidores con el servicio CUPS habilitado y, además, requiere acceso al puerto UDP 631 o DNS-SD. RedHat señala, sin embargo, que es posible reasignar CUPS a un puerto diferente.
El exhaustivo desglose del incidente realizado por Margaritelli revela una insidiosa y compleja cadena de ataques que, a pesar de los desacuerdos de la comunidad, no debe ignorarse. Nos ofrece una lección sobre dependencias aparentemente inocuas que pueden explotarse en profundidad si un actor de la amenaza está lo suficientemente decidido y si se han dejado pequeñas ventanas de oportunidad abiertas por patrones de codificación deficientes.
El escenario de CUPS es un poco diferente de lo que muchos desarrolladores y profesionales de AppSec pueden haber experimentado previamente, así que vamos a echar un vistazo y poner a prueba tus habilidades en el camino.
La vulnerabilidad: Ejecución remota de código (RCE) a través de CUPS
El blog Evilsocket proporciona una información inigualable y exhaustiva sobre estos exploits, y es un recurso que seguiremos de cerca. Margaritelli también cita una fuente anónima en su artículo, que no parece optimista sobre la solidez general de la seguridad de Linux:
"Desde un punto de vista de seguridad genérico, todo un sistema Linux tal y como es hoy en día no es más que un lío interminable y sin remedio de agujeros de seguridad esperando a ser explotados."
Se trata de un recordatorio aleccionador de los riesgos de seguridad inherentes que siguen prevaleciendo en los entornos de código abierto, por no mencionar la urgente necesidad de una mayor concienciación en materia de seguridad y de conocimientos de codificación segura entre la comunidad mundial de desarrolladores.
Echemos un vistazo a los CVE:
Lacadena de vulnerabilidades está muy extendida, y actualmente afecta a todas las versiones actuales y anteriores de los siguientes paquetes:
- distrotech/tazas-filtros
- OpenPrinting/tazas-filtros
- Cups-browsed
- libcupsfilters
- libppd
CUPS ha sido un componente heredado de los sistemas operativos UNIX y Linux durante más de dos décadas. Su función como dependencia de servicios de impresión hace que esté ansioso por realizar peticiones de red, lo que lo convierte en un objetivo principal para las vulnerabilidades de clase RCE.
En este caso, sin embargo, hay algo de ingenio en la forma en que los ataques se combinan para proporcionar un resultado exitoso. Se trata esencialmente de la capacidad de un atacante no autenticado y no detectado para sustituir las URL del Protocolo de Impresión por Internet (IPP) por otras maliciosas, además de modificar directivas que pueden provocar la inyección de comandos en el "archivo PPD (PostScript Printer Description)", que es un archivo utilizado para describir las características de la impresora recién añadida. Esto resulta en un ataque de ejecución de comandos una vez que se activa un trabajo de impresión, y se basa en una falta de validación de entrada dentro de los componentes de CUPS.
Además, solucionar esta vulnerabilidad en particular crea una especie de arma de doble filo, como señala Evilsocket. CUPS incluye el filtro foomatic-rip, un ejecutable con un historial previo como componente explotable de alto riesgo. Las CVE relacionadas con este componente se remontan a 2011, y aunque se ha establecido que foomatic-rip puede aprovecharse para ejecutar comandos del sistema operativo, solucionarlo causa problemas de estabilidad y pérdida de compatibilidad con muchas impresoras antiguas. Se trata de un problema complejo de superar.

- El actor de la amenaza inicia el ataque
- CVE-2024-47176: cups-browsed <= 2.0.1 is vulnerable because it binds to UDP port 631 using INADDR_ANY, which means it trusts any packet received from any source. This allows an unauthenticated remote attacker to send a malicious UDP packet with a manipulated IPP URL (pointing to the attacker-controlled IPP server), triggering the vulnerability. The victim’s machine now thinks it’s connecting to a new printer and sends a request asking for printer attributes.
- El sistema víctima procesa los atributos de la impresora
- CVE-2024-47076: libcupsfilters <= 2.1b1 has a vulnerability in cfGetPrinterAttributes5, which does not properly validate or sanitize the IPP attributes returned from an IPP server. When cups-browsed processes the packet, it can be tricked into reading malicious attributes sent by the attacker.
- El sistema víctima se conecta al servidor IPP del atacante-controlador
- CVE-2024-47175: libppd <= 2.1b1 in the ppdCreatePPDFromIPP2 function does not properly validate or sanitize IPP attributes when saving them to a temporary PPD (PostScript Printer Description) file. This allows the attacker to inject arbitrary data into a PPD file, including the FoomaticRIPCommandLine directive, which the printing system can later execute.
- Victim system initiates print job and attacker’s code is executed
CVE-2024-47177: cups-filters <= 2.0.1 is vulnerable because the foomatic-rip filter executes arbitrary commands through the FoomaticRIPCommandLine directive, allowing the attacker to run commands as the cups-browsed process. The attacker waits for the victim’s machine to initiate a print job. The moment this happens, the attacker’s malicious code will be executed (Remote Code Execution).
¿Cómo mitigar el riesgo de RCE?
Las empresas que utilicen CUPS como parte de sus operaciones comerciales deben seguir los consejos de corrección recomendados por Evilsocket y RedHat. Esto incluye, pero no se limita a, la aplicación de parches de seguridad como una prioridad de nivel de emergencia.
Para la inyección de comandos en general, consulte nuestra guía completa.
Si está interesado en obtener más directrices de codificación gratuitas, consulte Secure Code Coach, que le ayudará a mantenerse al día de las mejores prácticas de codificación segura.

Los usuarios de Linux no lo han tenido fácil últimamente, con varias vulnerabilidades de alta gravedad que han afectado al sistema de diversas maneras en los últimos años. Los investigadores de seguridad tienen ahora otro grupo de vulnerabilidades que desentrañar, todas ellas relacionadas con la función Common UNIX Printing System (CUPS) dirigida a sistemas GNU/Linux con una vía potencial para una potente Ejecución Remota de Código (RCE).
El 27 de septiembre de 2024, Simone Margaritelli de evilsocket.net publicó información crítica sobre varias vulnerabilidades explotables en CUPS, con CVEs posteriormente asignados a cuatro de ellas. Este número podría aumentar, pero en el momento de escribir estas líneas, la comunidad de seguridad está debatiendo la gravedad real de estos descubrimientos. Mientras que uno de los CVEs, CVE-2024-47177, tiene una calificación actual de gravedad crítica de 9.1 de MITRE, la manipulación exitosa de este fallo de inyección de comandos depende de servidores con el servicio CUPS habilitado y, además, requiere acceso al puerto UDP 631 o DNS-SD. RedHat señala, sin embargo, que es posible reasignar CUPS a un puerto diferente.
El exhaustivo desglose del incidente realizado por Margaritelli revela una insidiosa y compleja cadena de ataques que, a pesar de los desacuerdos de la comunidad, no debe ignorarse. Nos ofrece una lección sobre dependencias aparentemente inocuas que pueden explotarse en profundidad si un actor de la amenaza está lo suficientemente decidido y si se han dejado pequeñas ventanas de oportunidad abiertas por patrones de codificación deficientes.
El escenario de CUPS es un poco diferente de lo que muchos desarrolladores y profesionales de AppSec pueden haber experimentado previamente, así que vamos a echar un vistazo y poner a prueba tus habilidades en el camino.
La vulnerabilidad: Ejecución remota de código (RCE) a través de CUPS
El blog Evilsocket proporciona una información inigualable y exhaustiva sobre estos exploits, y es un recurso que seguiremos de cerca. Margaritelli también cita una fuente anónima en su artículo, que no parece optimista sobre la solidez general de la seguridad de Linux:
"Desde un punto de vista de seguridad genérico, todo un sistema Linux tal y como es hoy en día no es más que un lío interminable y sin remedio de agujeros de seguridad esperando a ser explotados."
Se trata de un recordatorio aleccionador de los riesgos de seguridad inherentes que siguen prevaleciendo en los entornos de código abierto, por no mencionar la urgente necesidad de una mayor concienciación en materia de seguridad y de conocimientos de codificación segura entre la comunidad mundial de desarrolladores.
Echemos un vistazo a los CVE:
Lacadena de vulnerabilidades está muy extendida, y actualmente afecta a todas las versiones actuales y anteriores de los siguientes paquetes:
- distrotech/tazas-filtros
- OpenPrinting/tazas-filtros
- Cups-browsed
- libcupsfilters
- libppd
CUPS ha sido un componente heredado de los sistemas operativos UNIX y Linux durante más de dos décadas. Su función como dependencia de servicios de impresión hace que esté ansioso por realizar peticiones de red, lo que lo convierte en un objetivo principal para las vulnerabilidades de clase RCE.
En este caso, sin embargo, hay algo de ingenio en la forma en que los ataques se combinan para proporcionar un resultado exitoso. Se trata esencialmente de la capacidad de un atacante no autenticado y no detectado para sustituir las URL del Protocolo de Impresión por Internet (IPP) por otras maliciosas, además de modificar directivas que pueden provocar la inyección de comandos en el "archivo PPD (PostScript Printer Description)", que es un archivo utilizado para describir las características de la impresora recién añadida. Esto resulta en un ataque de ejecución de comandos una vez que se activa un trabajo de impresión, y se basa en una falta de validación de entrada dentro de los componentes de CUPS.
Además, solucionar esta vulnerabilidad en particular crea una especie de arma de doble filo, como señala Evilsocket. CUPS incluye el filtro foomatic-rip, un ejecutable con un historial previo como componente explotable de alto riesgo. Las CVE relacionadas con este componente se remontan a 2011, y aunque se ha establecido que foomatic-rip puede aprovecharse para ejecutar comandos del sistema operativo, solucionarlo causa problemas de estabilidad y pérdida de compatibilidad con muchas impresoras antiguas. Se trata de un problema complejo de superar.

- El actor de la amenaza inicia el ataque
- CVE-2024-47176: cups-browsed <= 2.0.1 is vulnerable because it binds to UDP port 631 using INADDR_ANY, which means it trusts any packet received from any source. This allows an unauthenticated remote attacker to send a malicious UDP packet with a manipulated IPP URL (pointing to the attacker-controlled IPP server), triggering the vulnerability. The victim’s machine now thinks it’s connecting to a new printer and sends a request asking for printer attributes.
- El sistema víctima procesa los atributos de la impresora
- CVE-2024-47076: libcupsfilters <= 2.1b1 has a vulnerability in cfGetPrinterAttributes5, which does not properly validate or sanitize the IPP attributes returned from an IPP server. When cups-browsed processes the packet, it can be tricked into reading malicious attributes sent by the attacker.
- El sistema víctima se conecta al servidor IPP del atacante-controlador
- CVE-2024-47175: libppd <= 2.1b1 in the ppdCreatePPDFromIPP2 function does not properly validate or sanitize IPP attributes when saving them to a temporary PPD (PostScript Printer Description) file. This allows the attacker to inject arbitrary data into a PPD file, including the FoomaticRIPCommandLine directive, which the printing system can later execute.
- Victim system initiates print job and attacker’s code is executed
CVE-2024-47177: cups-filters <= 2.0.1 is vulnerable because the foomatic-rip filter executes arbitrary commands through the FoomaticRIPCommandLine directive, allowing the attacker to run commands as the cups-browsed process. The attacker waits for the victim’s machine to initiate a print job. The moment this happens, the attacker’s malicious code will be executed (Remote Code Execution).
¿Cómo mitigar el riesgo de RCE?
Las empresas que utilicen CUPS como parte de sus operaciones comerciales deben seguir los consejos de corrección recomendados por Evilsocket y RedHat. Esto incluye, pero no se limita a, la aplicación de parches de seguridad como una prioridad de nivel de emergencia.
Para la inyección de comandos en general, consulte nuestra guía completa.
Si está interesado en obtener más directrices de codificación gratuitas, consulte Secure Code Coach, que le ayudará a mantenerse al día de las mejores prácticas de codificación segura.

Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Ver el informeReservar una demostraciónLaura Verheyde es una desarrolladora de software en Secure Code Warrior centrada en la investigación de vulnerabilidades y la creación de contenidos para Missions y Coding labs.
Los usuarios de Linux no lo han tenido fácil últimamente, con varias vulnerabilidades de alta gravedad que han afectado al sistema de diversas maneras en los últimos años. Los investigadores de seguridad tienen ahora otro grupo de vulnerabilidades que desentrañar, todas ellas relacionadas con la función Common UNIX Printing System (CUPS) dirigida a sistemas GNU/Linux con una vía potencial para una potente Ejecución Remota de Código (RCE).
El 27 de septiembre de 2024, Simone Margaritelli de evilsocket.net publicó información crítica sobre varias vulnerabilidades explotables en CUPS, con CVEs posteriormente asignados a cuatro de ellas. Este número podría aumentar, pero en el momento de escribir estas líneas, la comunidad de seguridad está debatiendo la gravedad real de estos descubrimientos. Mientras que uno de los CVEs, CVE-2024-47177, tiene una calificación actual de gravedad crítica de 9.1 de MITRE, la manipulación exitosa de este fallo de inyección de comandos depende de servidores con el servicio CUPS habilitado y, además, requiere acceso al puerto UDP 631 o DNS-SD. RedHat señala, sin embargo, que es posible reasignar CUPS a un puerto diferente.
El exhaustivo desglose del incidente realizado por Margaritelli revela una insidiosa y compleja cadena de ataques que, a pesar de los desacuerdos de la comunidad, no debe ignorarse. Nos ofrece una lección sobre dependencias aparentemente inocuas que pueden explotarse en profundidad si un actor de la amenaza está lo suficientemente decidido y si se han dejado pequeñas ventanas de oportunidad abiertas por patrones de codificación deficientes.
El escenario de CUPS es un poco diferente de lo que muchos desarrolladores y profesionales de AppSec pueden haber experimentado previamente, así que vamos a echar un vistazo y poner a prueba tus habilidades en el camino.
La vulnerabilidad: Ejecución remota de código (RCE) a través de CUPS
El blog Evilsocket proporciona una información inigualable y exhaustiva sobre estos exploits, y es un recurso que seguiremos de cerca. Margaritelli también cita una fuente anónima en su artículo, que no parece optimista sobre la solidez general de la seguridad de Linux:
"Desde un punto de vista de seguridad genérico, todo un sistema Linux tal y como es hoy en día no es más que un lío interminable y sin remedio de agujeros de seguridad esperando a ser explotados."
Se trata de un recordatorio aleccionador de los riesgos de seguridad inherentes que siguen prevaleciendo en los entornos de código abierto, por no mencionar la urgente necesidad de una mayor concienciación en materia de seguridad y de conocimientos de codificación segura entre la comunidad mundial de desarrolladores.
Echemos un vistazo a los CVE:
Lacadena de vulnerabilidades está muy extendida, y actualmente afecta a todas las versiones actuales y anteriores de los siguientes paquetes:
- distrotech/tazas-filtros
- OpenPrinting/tazas-filtros
- Cups-browsed
- libcupsfilters
- libppd
CUPS ha sido un componente heredado de los sistemas operativos UNIX y Linux durante más de dos décadas. Su función como dependencia de servicios de impresión hace que esté ansioso por realizar peticiones de red, lo que lo convierte en un objetivo principal para las vulnerabilidades de clase RCE.
En este caso, sin embargo, hay algo de ingenio en la forma en que los ataques se combinan para proporcionar un resultado exitoso. Se trata esencialmente de la capacidad de un atacante no autenticado y no detectado para sustituir las URL del Protocolo de Impresión por Internet (IPP) por otras maliciosas, además de modificar directivas que pueden provocar la inyección de comandos en el "archivo PPD (PostScript Printer Description)", que es un archivo utilizado para describir las características de la impresora recién añadida. Esto resulta en un ataque de ejecución de comandos una vez que se activa un trabajo de impresión, y se basa en una falta de validación de entrada dentro de los componentes de CUPS.
Además, solucionar esta vulnerabilidad en particular crea una especie de arma de doble filo, como señala Evilsocket. CUPS incluye el filtro foomatic-rip, un ejecutable con un historial previo como componente explotable de alto riesgo. Las CVE relacionadas con este componente se remontan a 2011, y aunque se ha establecido que foomatic-rip puede aprovecharse para ejecutar comandos del sistema operativo, solucionarlo causa problemas de estabilidad y pérdida de compatibilidad con muchas impresoras antiguas. Se trata de un problema complejo de superar.

- El actor de la amenaza inicia el ataque
- CVE-2024-47176: cups-browsed <= 2.0.1 is vulnerable because it binds to UDP port 631 using INADDR_ANY, which means it trusts any packet received from any source. This allows an unauthenticated remote attacker to send a malicious UDP packet with a manipulated IPP URL (pointing to the attacker-controlled IPP server), triggering the vulnerability. The victim’s machine now thinks it’s connecting to a new printer and sends a request asking for printer attributes.
- El sistema víctima procesa los atributos de la impresora
- CVE-2024-47076: libcupsfilters <= 2.1b1 has a vulnerability in cfGetPrinterAttributes5, which does not properly validate or sanitize the IPP attributes returned from an IPP server. When cups-browsed processes the packet, it can be tricked into reading malicious attributes sent by the attacker.
- El sistema víctima se conecta al servidor IPP del atacante-controlador
- CVE-2024-47175: libppd <= 2.1b1 in the ppdCreatePPDFromIPP2 function does not properly validate or sanitize IPP attributes when saving them to a temporary PPD (PostScript Printer Description) file. This allows the attacker to inject arbitrary data into a PPD file, including the FoomaticRIPCommandLine directive, which the printing system can later execute.
- Victim system initiates print job and attacker’s code is executed
CVE-2024-47177: cups-filters <= 2.0.1 is vulnerable because the foomatic-rip filter executes arbitrary commands through the FoomaticRIPCommandLine directive, allowing the attacker to run commands as the cups-browsed process. The attacker waits for the victim’s machine to initiate a print job. The moment this happens, the attacker’s malicious code will be executed (Remote Code Execution).
¿Cómo mitigar el riesgo de RCE?
Las empresas que utilicen CUPS como parte de sus operaciones comerciales deben seguir los consejos de corrección recomendados por Evilsocket y RedHat. Esto incluye, pero no se limita a, la aplicación de parches de seguridad como una prioridad de nivel de emergencia.
Para la inyección de comandos en general, consulte nuestra guía completa.
Si está interesado en obtener más directrices de codificación gratuitas, consulte Secure Code Coach, que le ayudará a mantenerse al día de las mejores prácticas de codificación segura.
Índice

Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Seguridad desde el diseño: Definición de las mejores prácticas, capacitación de los desarrolladores y evaluación comparativa de los resultados de la seguridad preventiva
En este documento de investigación, los cofundadores Secure Code Warrior , Pieter Danhieux y el Dr. Matias Madou, Ph.D., junto con los expertos colaboradores, Chris Inglis, ex Director Nacional Cibernético de EE.UU. (ahora Asesor Estratégico de Paladin Capital Group), y Devin Lynch, Director Senior, Paladin Global Institute, revelarán los hallazgos clave de más de veinte entrevistas en profundidad con líderes de seguridad empresarial, incluyendo CISOs, un VP de Seguridad de Aplicaciones y profesionales de seguridad de software.
Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa
Encontrar datos significativos sobre el éxito de las iniciativas Secure-by-Design es notoriamente difícil. Los responsables de la seguridad de la información se enfrentan a menudo al reto de demostrar el rendimiento de la inversión (ROI) y el valor empresarial de las actividades de los programas de seguridad, tanto a nivel de las personas como de la empresa. Por no mencionar que a las empresas les resulta especialmente difícil obtener información sobre cómo se comparan sus organizaciones con los estándares actuales del sector. La Estrategia Nacional de Ciberseguridad del Presidente desafió a las partes interesadas a "adoptar la seguridad y la resiliencia desde el diseño". La clave para que las iniciativas de seguridad por diseño funcionen no es sólo dotar a los desarrolladores de las habilidades necesarias para garantizar un código seguro, sino también garantizar a los reguladores que esas habilidades están en su lugar. En esta presentación, compartimos una miríada de datos cualitativos y cuantitativos, derivados de múltiples fuentes primarias, incluidos puntos de datos internos recogidos de más de 250.000 desarrolladores, opiniones de clientes basadas en datos y estudios públicos. Aprovechando esta agregación de puntos de datos, pretendemos comunicar una visión del estado actual de las iniciativas Secure-by-Design en múltiples verticales. El informe detalla por qué este espacio está actualmente infrautilizado, el impacto significativo que un programa de mejora de las competencias puede tener en la mitigación de los riesgos de ciberseguridad y el potencial para eliminar categorías de vulnerabilidades de un código base.
Recursos para empezar
Estableciendo el estándar: SCW publica reglas de seguridad de codificación de IA gratuitas en GitHub
El desarrollo asistido por IA ya no es una posibilidad: ya está aquí y está transformando rápidamente la forma de escribir software. Herramientas como GitHub Copilot, Cline, Roo, Cursor, Aider y Windsurf están transformando a los desarrolladores en sus propios copilotos, permitiendo iteraciones más rápidas y acelerando todo, desde la creación de prototipos hasta grandes proyectos de refactorización.
Cierre el círculo de las vulnerabilidades con Secure Code Warrior + HackerOne
Secure Code Warrior se complace en anunciar nuestra nueva integración con HackerOne, líder en soluciones de seguridad ofensiva. Juntos, estamos construyendo un ecosistema potente e integrado. HackerOne señala dónde se producen realmente las vulnerabilidades en entornos reales, exponiendo el "qué" y el "dónde" de los problemas de seguridad.
Revelado: Cómo define el sector cibernético la seguridad por diseño
En nuestro último libro blanco, nuestros cofundadores, Pieter Danhieux y el doctor Matias Madou, se sentaron con más de veinte líderes de seguridad empresarial, incluidos CISO, líderes de AppSec y profesionales de la seguridad, para averiguar las piezas clave de este rompecabezas y descubrir la realidad detrás del movimiento Secure by Design. Se trata de una ambición compartida por todos los equipos de seguridad, pero no de un libro de jugadas compartido.
¿Vibe Coding va a convertir tu código en una fiesta de fraternidad?
Vibe Coding es como una fiesta de fraternidad universitaria, y la IA es la pieza central de todos los festejos, el barril. Es muy divertido dar rienda suelta a la creatividad y ver adónde te lleva tu imaginación, pero después de unas cuantas borracheras, beber (o usar IA) con moderación es, sin duda, la solución más segura a largo plazo.