CRITICAL🇬🇧 English

CVE-2025-27641

Vasion Print / PrinterLogic — pominięcie uwierzytelnienia w API Single Sign-On

CVSS 9.8v3.1pub. 2025-03-05upd. 2025-11-03

Podatność w Vasion Print (dawniej PrinterLogic) umożliwia nieuwierzytelnionemu atakującemu dostęp do interfejsów API odpowiedzialnych za Single Sign-On. Luka jest oceniana jako krytyczna (CVSS 9.8) i może prowadzić do całkowitego przejęcia systemu bez posiadania jakichkolwiek danych uwierzytelniających.

Pokaż oryginał (EN)

Vasion Print (formerly PrinterLogic) before Virtual Appliance Host 22.0.951 Application 20.0.2368 allows Unauthenticated APIs for Single-Sign On V-2024-009.

🤖 Analiza AI
Jak działa

Aplikacja Vasion Print udostępnia określone endpointy API związane z mechanizmem Single Sign-On bez wymagania uwierzytelnienia (CWE-287 — nieprawidłowe uwierzytelnienie). Atakujący zdalnie, przez sieć, bez żadnych uprawnień ani interakcji ze strony użytkownika, może wywołać te API i obejść kontrolę dostępu. Wektor sieciowy (AV:N) oraz brak wymagań co do złożoności ataku (AC:L) sprawiają, że exploit może być przeprowadzony przez każdego z dostępem sieciowym do instancji.

Skutki

Skuteczne wykorzystanie podatności daje atakującemu pełny dostęp do poufnych danych, możliwość modyfikacji konfiguracji i danych systemu druku oraz potencjalne zakłócenie dostępności usługi — co odpowiada ocenie C:H/I:H/A:H w wektorze CVSS.

Mitygacja

Należy zaktualizować Vasion Print do wersji Virtual Appliance Host 22.0.951 lub nowszej oraz Application 20.0.2368 lub nowszej. Szczegółowe informacje dostępne są w biuletynie bezpieczeństwa producenta pod adresem: https://help.printerlogic.com/saas/Print/Security/Security-Bulletins.htm

Kogo dotyczy

Vasion Print (dawniej PrinterLogic) w wersji Virtual Appliance Host przed 22.0.951 oraz Application przed 20.0.2368

Uwagi

Podatność jest częścią serii 83 podatności odkrytych i opublikowanych przez badacza Pierre Kim w kwietniu 2025 r. (opublikowano 2025-04-08). Identyfikator wewnętrzny producenta: V-2024-009.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Printerlogic Vasion Print

    APP
    Printerlogic
    < 20.0.2368
  • Printerlogic Virtual Appliance

    APP
    Printerlogic
    < 22.0.951
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2025-27643CRITICAL9.8PL ✓ten sam produkt

Zakodowany na stałe klucz AWS API w Vasion Print (PrinterLogic)

CVE-2025-27638CRITICAL9.8PL ✓ten sam produkt

Hardcoded Password w Vasion Print (PrinterLogic) — dostęp bez uwierzytelnienia

CVE-2025-27642CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — nieautoryzowana edycja pakietów sterowników

CVE-2025-27640CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Vasion Print (PrinterLogic) — zdalne przejęcie kontroli

CVE-2025-27645CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — niebezpieczna instalacja rozszerzeń przez HTTP

CVE-2025-27641 — Vasion Print / PrinterLogic — pominięcie uwierzytelnienia w API Single Sign-On — CRITICAL 9.8 | CVEbaza.pl