VU#828543:HP Deskjet 2800 打印机系列 Web 服务器存在授权缺失漏洞
HP Deskjet 2800 系列打印机若固件版本为 TBP1CN2612AR 或更早,存在关键授权漏洞。该漏洞编号为 CVE-2026-13753,允许未经身份验证的访问打印机 Web 服务器 API。攻击者可绕过通常必需的管理员凭据以获取敏感数据。所暴露的信息包括 Wi-Fi Direct 凭据、管理配置详情以及安全相关数据。受影响的 API 端点在披露此类信息前未验证会话状态或进行身份验证。直接请求这些后端 API 可绕过 Web 界面的安全措施。暴露的数据可能导致未经授权的无线访问及进一步的网络 compromise。遗憾的是,HP 尚未发布针对此漏洞的固件补丁。建议用户限制对打印机 Web 界面的网络访问,并禁用不必要的功能(如 Wi-Fi Direct 和 SNMP)。此外,实施防火墙规则和访问控制列表也有助于缓解风险。