HP Deskjet 2800 Yazıcı Serisinde Yetki Eksikliği Zafiyeti
HP'nin Deskjet 2800 Yazıcı Serisinde, özellikle TBP1CN2612AR sürümünden önceki firmware sürümlerinde, CVE-2026-13753 olarak takip edilen bir yetki eksikliği zafiyeti bulundu. Bu zafiyet, yetkisiz erişimi sağlayan bir açık, yazıcıların web sunucusu API uç noktalarına erişimi sağlıyor. Bu da Wi-Fi kimlik bilgileri, yönetim yapılandırma detayları ve yalnızca yöneticilere ait olan hassas güvenlik verilerine erişim anlamına geliyor.
Modern HP yazıcılar, Wi-Fi Direct ayarları, SNMP yönetim erişimi ve cihaz güvenlik seçenekleri gibi içerikleri yapılandırabilmek için web tabanlı bir yönetim arabirimi sunar. Normalde, bu sayfalar tarayıcı arayüzü aracılığıyla erişildiğinde, hassas bilgiler görüntülenmeden önce yöneticinin kimlik bilgilerini açıkça gerektirir. Ancak etkilenen firmware sürümlerinde, yetkilendirme gereksinimi, API uç noktalarına doğrudan, yetkisiz GET istekleri göndererek atlatılabilir. Etkilenen uç noktalar, oturum durumunu veya kimlik doğrulamasını doğrulamadan, Wi-Fi Direct SSID ve açık metin parolası, benzersiz yazıcı serisi numaraları ve hizmet kimlikleri ve cihazın yöneticisi parolası durumuna ilişkin detaylar gibi yöneticilik yapılandırma verilerini döndürür. Bu bilgiler, ilgili web arayüzü sayfalarının kimlik doğrulamasını doğru bir şekilde zorlasa da, serbestçe açıklanır ve bu da API katmanında bir yetkilendirme hatasına işaret eder.
Bir uzak saldırgan, ağ erişimine sahipse, web arayüzünün kimlik doğrulama gereksinimlerini atlayabilir ve hassas yapılandırma verilerini doğrudan arka uç API'lerinden alabilir. Açıklanan bilgiler arasında Wi-Fi Direct kimlik bilgileri, SNMP yapılandırma detayları, cihaz kimlik bilgileri, bulut hizmetleri kayıt meta verileri ve cihazın yöneticisi güvenlik durumuna ilişkin diğer bilgiler bulunur. Bir saldırı, yazıcıların ve bağlı ağların güvenliğini tehlikeye atabilir.
CVE-2026-13753 kodlu bu zafiyet, yetki doğrulamasını atlatma türündedir ve CVSS puanı henüz açıklanmamıştır. Şu anda, bu zafiyetin aktif olarak sömürüldüğü bilinmemektedir. Ancak, HP'nin bir yama veya güncelleme yayınlaması beklenmektedir. Kullanıcıların, yazıcılarını en son sürüme güncellemeleri ve güvenlik önlemlerini sıkılaştırarak riski azaltmaları önerilir.


