En bref

  • CVE-2023-27351 (CVSS 8.2) : contournement d''authentification dans PaperCut NG/MF via la classe SecurityRequestFilter, permettant à un attaquant distant non authentifié d''accéder à l''interface d''administration.
  • La CISA a ajouté la faille à son catalogue KEV le 20 avril 2026 après nouvelle campagne d''exploitation observée en 2026 sur des serveurs d''impression non mis à jour.
  • Correctif disponible depuis mars 2023 : PaperCut NG/MF 22.0.5 (Build 63914) ou ultérieur. Vérifier les versions 20.x et 21.x encore en production et migrer.

La CISA a officiellement ajouté CVE-2023-27351 à son catalogue des Known Exploited Vulnerabilities (KEV) le 20 avril 2026, signalant une reprise de l''exploitation active de cette faille historique d''authentification affectant PaperCut NG et PaperCut MF, la plateforme d''impression d''entreprise utilisée par plus de cent millions d''utilisateurs dans le monde. La vulnérabilité, notée CVSS 8.2, se situe dans le composant SecurityRequestFilter et permet à un attaquant distant non authentifié de contourner l''étape de vérification des sessions administratives puis d''atteindre les endpoints réservés aux administrateurs. Découverte initialement par Horizon3 en 2023 et corrigée dans la version 22.0.5 (Build 63914), la faille avait été exploitée à grande échelle en avril 2023 par le groupe Lace Tempest pour déployer les rançongiciels Cl0p et LockBit. Trois ans plus tard, la CISA constate que de nombreux serveurs PaperCut restent en version vulnérable et qu''une nouvelle vague d''attaques cible les versions 20.x et 21.x toujours en production.

Les faits

La faille réside dans le filtre d''autorisation SecurityRequestFilter du serveur d''application PaperCut. D''après l''advisory officiel PaperCut PC-17226 et l''analyse technique de Horizon3, une requête correctement formée vers l''endpoint SetupCompleted peut être traitée sans session administrative active, ce qui laisse l''attaquant manipuler l''état interne de la configuration et réinitialiser le parcours de premier démarrage. À partir de là, l''attaquant peut pivoter vers l''API d''administration et vers la fonctionnalité de scripts utilisateur de PaperCut, qui exécute du code JavaScript côté serveur — concrètement une primitive de RCE post-authentification instantanément exploitable.

L''exploitation de 2023 avait conduit au déploiement massif de Cl0p par le groupe Lace Tempest (TA505), avec vol de données et extorsion à grande échelle sur plusieurs centaines d''organisations. L''ajout au KEV le 20 avril 2026, sous l''alerte BOD 22-01, fait suite à la détection par les équipes Tenable Research et GreyNoise d''une nouvelle vague de scans et d''exploitations ciblant spécifiquement les versions 20.1.8, 21.2.4 et antérieures à 22.0.5 qui n''ont jamais été mises à jour. La CISA impose une remédiation aux agences fédérales avant le 11 mai 2026.

Impact et exposition

Les serveurs PaperCut sont traditionnellement déployés dans les universités, collectivités, hôpitaux et grandes entreprises, souvent exposés directement sur Internet pour permettre l''impression à distance des employés et des étudiants. Le simple fait de pouvoir joindre le port applicatif 9191/TCP ou 9192/TCP depuis l''extérieur suffit à déclencher l''exploitation. Une fois l''accès administrateur obtenu, l''attaquant dispose d''un chemin d''exécution de code sur la machine hôte, typiquement un Windows Server, avec les privilèges du service PaperCut. Cela ouvre la voie à une escalade vers le contrôleur de domaine si le serveur d''impression est intégré à Active Directory, scénario systématiquement observé dans les compromissions de 2023. Les instances hébergées en SaaS par PaperCut sont patchées automatiquement ; seules les installations on-premise non mises à jour sont concernées.

Recommandations immédiates

  • Mettre à niveau immédiatement vers PaperCut NG/MF 22.0.5 (Build 63914) ou une version ultérieure — advisory PaperCut Security Bulletin PC-17226.
  • Si la mise à niveau est impossible sous 24 heures, bloquer l''accès Internet aux ports 9191/TCP et 9192/TCP, ou placer le serveur derrière un reverse proxy authentifiant avec IP allowlist.
  • Auditer la fonctionnalité « Scripts utilisateur » et désactiver l''exécution de code côté serveur si elle n''est pas utilisée dans les workflows métier.
  • Rechercher les IoC publiés par Microsoft Threat Intelligence pour Lace Tempest : processus TrueBot, connexions vers des domaines Cl0p, création de tâches planifiées MSIZap, artefacts PowerShell téléchargeant DewMode.
  • Vérifier les journaux d''accès HTTP sur /app?service=page/SetupCompleted et /app?service=direct/1/Home/ pour la période depuis le 1er mars 2026.

⚠️ Urgence

Nouvelle vague d''exploitation en 2026 et inscription KEV CISA du 20 avril 2026. Les serveurs PaperCut exposés sur Internet et non patchés sont des cibles de choix pour les groupes ransomware, avec historique confirmé de déploiement Cl0p et LockBit depuis cette faille. Le patch est disponible depuis mars 2023 — toute instance encore vulnérable aujourd''hui reflète un défaut de gestion des correctifs à corriger sans délai.

Comment savoir si je suis vulnérable ?

Connectez-vous à l''interface d''administration PaperCut et consultez « À propos → Version ». Si le numéro affiché est inférieur à 22.0.5 Build 63914, l''installation est vulnérable. Vous pouvez aussi envoyer une requête curl -sk https://papercut.votre-domaine:9192/app?service=page/SetupCompleted : si la réponse est un écran de configuration initiale au lieu d''une redirection vers la page de login, l''exploitation est possible.

Quels rançongiciels sont associés à cette faille ?

La campagne d''avril 2023 attribuée à Lace Tempest (TA505) a déposé les familles Cl0p et LockBit via cette vulnérabilité, aboutissant à plusieurs centaines d''incidents majeurs. Les observations 2026 de Tenable et GreyNoise suggèrent que des groupes opportunistes ont repris le même exploit pour cibler les serveurs oubliés, avec des signatures rançongiciels variées — l''outil d''entrée reste le même, les payloads changent.

Les lecteurs qui supervisent des plateformes d''impression ou des serveurs d''application Java retrouveront les schémas d''exploitation classiques dans notre dossier sur la RCE Apache ActiveMQ via Jolokia ajoutée au KEV. Le parallèle avec les autres ajouts KEV récents est détaillé dans Cisco SD-WAN Manager et les trois failles ajoutées au KEV et l''élévation de privilèges Windows CVE-2025-60710. Pour les lecteurs qui souhaitent comprendre comment un contournement d''authentification peut être chaîné vers une exécution de code côté serveur, notre analyse du bypass root CVE-2026-24061 dans GNU telnetd présente une démarche technique similaire de reproduction d''exploit.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.

Demander un audit