4月8日消息,安全研究员发现 Linux 打印服务 CUPS 存在严重漏洞链,涉及 CVE-2026-34980 和 CVE-2026-34990 两个漏洞。攻击者无需凭证即可远程执行代码并获取 root 权限,最终可覆盖系统关键文件完全控制主机。
CVE-2026-34980 源于 CUPS 对打印任务属性的换行符转义处理缺陷,攻击者可通过恶意打印任务注入 PPD 配置标记实现远程代码执行。CVE-2026-34990 影响更为广泛,默认配置下即可触发,本地用户可绑定端口并获取管理令牌。
截至 4 月 5 日官方尚未发布修补版本,最新版 2.4.16 仍存在漏洞。使用 CUPS 打印服务的 Linux 用户应密切关注安全更新,并考虑在修补前限制网络打印服务的访问范围。
