Diese Sicherheitslücken, die unter den Bezeichnungen CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 und CVE-2024-47177 bekannt sind, betreffen verschiedene Komponenten des CUPS-Systems, darunter libcupsfilters, libppd, cups-browsed und cups-filters. Die Schwachstellen betreffen Systeme jedoch nur dann, wenn sie nicht in der Standardkonfiguration betrieben werden.

Eine der Hauptkomponenten des CUPS-Systems, der cups-browsed-Daemon, kann im Netzwerk nach Druckern suchen und diese automatisch für das lokale System verfügbar machen. Forscher fanden heraus, dass Angreifer über manipulierte Druckerbeschreibungsdateien (PPD) einen Drucker auf einem Netzwerk hinzufügen können, der über den cups-browsed-Daemon verfügbar gemacht wird.

Wenn Benutzer auf diesen gefälschten Drucker zugreifen, kann der Angreifer bösartigen Code auf dem lokalen Rechner ausführen. Dies ist jedoch nur möglich, wenn der cups-browsed-Daemon aktiviert ist, was auf den meisten Systemen standardmäßig nicht der Fall ist.

Obwohl diese Schwachstellen potenziell zu einer Remote-Code-Ausführung führen können, sind also mehrere Bedingungen erforderlich, damit der Angriff erfolgreich ist. Systeme müssen den cups-browsed-Daemon aktiviert haben, und der Angreifer muss in der Lage sein, über das Netzwerk eine Verbindung herzustellen.

Red Hat stuft die Schwachstellen dementsprechend als "wichtig", aber nicht kritisch ein, da die Standardkonfiguration die Angriffsfläche reduziert. Während an Patches gearbeitet wird, empfehlen Experten, den cups-browsed-Daemon zu deaktivieren, um das Risiko zu minimieren. Die Suchmaschine Shodan berichtet derweil von 75.000 erreichbaren CUPS-Daemons im Internet.