As falhas são primeiro a de injeção de XML - CVE-2025-8355 - e de path traversal - CVE-2025-8356.

A injeção de XXE acontece devido a um parsing inapropriado de XML no sistema do processamento de mensagens em JMF (Job Message Format). Atacantes podiam submeter pedidos maliciosos de XML para executar ataques de SSTF e aceder a informação sensível.

Por sua vez, a falha de path traversal estava presente no mecanismo de processamento de ficheiros e permitia que atacantes carregassem webshells para diretórios públicos, e desta forma podiam aceder remotamente a sistemas comprometidos.

Vetor de ataque:

• porta 4004 com o serviço JMF client

Solução

• atualizar para a versão 8.0.5

Links relevantes:

Detalhes técnicos: https://www.scworld.com/news/xerox-fixes-critical-rce-flaw-in-freeflow-core-software

Patch: https://www.support.xerox.com/en-us/product/core/downloads?language=en