Podatność w Vasion Print (dawniej PrinterLogic) umożliwia nieuwierzytelnionemu atakującemu dostęp do interfejsów API odpowiedzialnych za Single Sign-On. Luka jest oceniana jako krytyczna (CVSS 9.8) i może prowadzić do całkowitego przejęcia systemu bez posiadania jakichkolwiek danych uwierzytelniających.
▸ Pokaż oryginał (EN)
Vasion Print (formerly PrinterLogic) before Virtual Appliance Host 22.0.951 Application 20.0.2368 allows Unauthenticated APIs for Single-Sign On V-2024-009.
Aplikacja Vasion Print udostępnia określone endpointy API związane z mechanizmem Single Sign-On bez wymagania uwierzytelnienia (CWE-287 — nieprawidłowe uwierzytelnienie). Atakujący zdalnie, przez sieć, bez żadnych uprawnień ani interakcji ze strony użytkownika, może wywołać te API i obejść kontrolę dostępu. Wektor sieciowy (AV:N) oraz brak wymagań co do złożoności ataku (AC:L) sprawiają, że exploit może być przeprowadzony przez każdego z dostępem sieciowym do instancji.
Skuteczne wykorzystanie podatności daje atakującemu pełny dostęp do poufnych danych, możliwość modyfikacji konfiguracji i danych systemu druku oraz potencjalne zakłócenie dostępności usługi — co odpowiada ocenie C:H/I:H/A:H w wektorze CVSS.
Należy zaktualizować Vasion Print do wersji Virtual Appliance Host 22.0.951 lub nowszej oraz Application 20.0.2368 lub nowszej. Szczegółowe informacje dostępne są w biuletynie bezpieczeństwa producenta pod adresem: https://help.printerlogic.com/saas/Print/Security/Security-Bulletins.htm
Vasion Print (dawniej PrinterLogic) w wersji Virtual Appliance Host przed 22.0.951 oraz Application przed 20.0.2368
Podatność jest częścią serii 83 podatności odkrytych i opublikowanych przez badacza Pierre Kim w kwietniu 2025 r. (opublikowano 2025-04-08). Identyfikator wewnętrzny producenta: V-2024-009.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HPrinterlogic Vasion Print
APPPrinterlogic< 20.0.2368Printerlogic Virtual Appliance
APPPrinterlogic< 22.0.951
Powiązane podatności
Zakodowany na stałe klucz AWS API w Vasion Print (PrinterLogic)
Hardcoded Password w Vasion Print (PrinterLogic) — dostęp bez uwierzytelnienia
Vasion Print / PrinterLogic — nieautoryzowana edycja pakietów sterowników
SQL Injection w Vasion Print (PrinterLogic) — zdalne przejęcie kontroli
Vasion Print / PrinterLogic — niebezpieczna instalacja rozszerzeń przez HTTP