Podatność w Vasion Print (dawniej PrinterLogic) umożliwia nieuwierzytelnionemu atakującemu edycję pakietów sterowników drukarki bez żadnego uwierzytelnienia. Ze względu na wynik CVSS 9.8 i brak wymogu interakcji użytkownika stanowi krytyczne zagrożenie dla infrastruktury druku.
▸ Pokaż oryginał (EN)
Vasion Print (formerly PrinterLogic) before Virtual Appliance Host 22.0.933 Application 20.0.2368 allows Unauthenticated Driver Package Editing V-2024-008.
Aplikacja nie wymaga uwierzytelnienia (CWE-306 — brakująca kontrola dostępu) do funkcji odpowiedzialnych za zarządzanie pakietami sterowników. Atakujący zdalnie, przez sieć, bez żadnych uprawnień i bez udziału użytkownika może modyfikować pakiety sterowników udostępniane klientom druku. Podrzucony pakiet sterownika może zawierać złośliwy kod, który zostanie następnie zainstalowany na stacjach roboczych pobierających sterowniki z serwera.
Atakujący może podmienić legalne pakiety sterowników na złośliwe, co prowadzi do kompromitacji poufności, integralności i dostępności systemów — w tym potencjalnego przejęcia kontroli nad stacjami roboczymi pobierającymi zainfekowane sterowniki.
Należy zaktualizować Virtual Appliance Host do wersji 22.0.933 lub nowszej oraz Application do wersji 20.0.2368 lub nowszej. Szczegółowe informacje dostępne w biuletynie bezpieczeństwa producenta pod adresem wskazanym w referencjach.
Vasion Print (dawniej PrinterLogic) w wersjach Virtual Appliance Host poniżej 22.0.933 oraz Application poniżej 20.0.2368
Podatność identyfikowana przez producenta jako V-2024-008. Dostępna jest publiczna analiza techniczna (pierrekim.github.io, kwiecień 2025) obejmująca łącznie 83 podatności w produktach Vasion/PrinterLogic, a szczegóły zostały ujawnione również na liście Full Disclosure.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HPrinterlogic Vasion Print
APPPrinterlogic< 20.0.2368Printerlogic Virtual Appliance
APPPrinterlogic< 22.0.933
Powiązane podatności
Zakodowany na stałe klucz AWS API w Vasion Print (PrinterLogic)
Hardcoded Password w Vasion Print (PrinterLogic) — dostęp bez uwierzytelnienia
Vasion Print / PrinterLogic — pominięcie uwierzytelnienia w API Single Sign-On
SQL Injection w Vasion Print (PrinterLogic) — zdalne przejęcie kontroli
Vasion Print / PrinterLogic — niebezpieczna instalacja rozszerzeń przez HTTP