CRITICAL🇬🇧 English

CVE-2025-27645

Vasion Print / PrinterLogic — niebezpieczna instalacja rozszerzeń przez HTTP

CVSS 9.8v3.1pub. 2025-03-05upd. 2025-11-03

Podatność w Vasion Print (dawniej PrinterLogic) umożliwia instalację niebezpiecznych rozszerzeń poprzez zaufanie niezabezpieczonym metodom HTTP po stronie serwera. Ze względu na brak wymagania uwierzytelnienia (PR:N, UI:N) i sieciowy wektor ataku, podatność jest oceniana jako krytyczna z wynikiem CVSS 9.8.

Pokaż oryginał (EN)

Vasion Print (formerly PrinterLogic) before Virtual Appliance Host 22.0.933 Application 20.0.2368 allows Insecure Extension Installation by Trusting HTTP Permission Methods on the Server Side V-2024-005.

🤖 Analiza AI
Jak działa

Aplikacja nieprawidłowo weryfikuje uprawnienia podczas instalacji rozszerzeń, ufając metodom HTTP przesyłanym przez klienta bez odpowiedniej walidacji po stronie serwera (CWE-863 — nieprawidłowa autoryzacja). Atakujący zdalnie, bez uwierzytelnienia i interakcji użytkownika, może przesłać żądanie HTTP powodujące instalację złośliwego rozszerzenia. Serwer akceptuje takie żądanie, traktując je jako uprawnione na podstawie samej metody HTTP.

Skutki

Atakujący może zainstalować złośliwe rozszerzenie na serwerze druku, co potencjalnie prowadzi do pełnego przejęcia kontroli nad systemem, utraty poufności danych, naruszenia integralności oraz dostępności usług drukowania.

Mitygacja

Należy zaktualizować Virtual Appliance Host do wersji 22.0.933 lub nowszej oraz Application do wersji 20.0.2368 lub nowszej. Szczegółowe informacje dostępne są w biuletynie bezpieczeństwa producenta pod adresem help.printerlogic.com.

Kogo dotyczy

Vasion Print (dawniej PrinterLogic) — Virtual Appliance Host w wersjach przed 22.0.933 oraz Application w wersjach przed 20.0.2368

Uwagi

Podatność oznaczona przez producenta jako V-2024-005. Szczegółowa analiza techniczna dostępna jest publicznie pod adresem pierrekim.github.io oraz w serwisie seclists.org (Full Disclosure, kwiecień 2025), co zwiększa ryzyko wykorzystania.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Printerlogic Vasion Print

    APP
    Printerlogic
    < 20.0.2368
  • Printerlogic Virtual Appliance

    APP
    Printerlogic
    < 22.0.933
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-27642CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — nieautoryzowana edycja pakietów sterowników

CVE-2025-27638CRITICAL9.8PL ✓ten sam produkt

Hardcoded Password w Vasion Print (PrinterLogic) — dostęp bez uwierzytelnienia

CVE-2025-27641CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — pominięcie uwierzytelnienia w API Single Sign-On

CVE-2025-27640CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Vasion Print (PrinterLogic) — zdalne przejęcie kontroli

CVE-2025-27643CRITICAL9.8PL ✓ten sam produkt

Zakodowany na stałe klucz AWS API w Vasion Print (PrinterLogic)

CVE-2025-27645 — Vasion Print / PrinterLogic — niebezpieczna instalacja rozszerzeń przez HTTP — CRITICAL 9.8 | CVEbaza.pl