Podatność w Vasion Print (dawniej PrinterLogic) umożliwia odczyt hasła z listy procesów systemowych bez uwierzytelnienia. Jest to podatność krytyczna (CVSS 9.8) polegająca na niezabezpieczonym przechowywaniu poświadczeń, co może prowadzić do pełnego przejęcia systemu.
▸ Pokaż oryginał (EN)
Vasion Print (formerly PrinterLogic) before Virtual Appliance Host 22.0.862 Application 20.0.2014 allows Password Stored in Process List V-2023-011.
Aplikacja przechowuje hasło w sposób widoczny w liście procesów systemowych (process list), co klasyfikowane jest jako CWE-256 (Plaintext Storage of a Password). Osoba lub proces mający dostęp do listy procesów — lokalnie lub zdalnie — może odczytać hasło bez konieczności posiadania uprawnień ani interakcji użytkownika. Wektor ataku jest sieciowy, a złożoność ataku niska, co czyni tę podatność szczególnie niebezpieczną.
Atakujący może uzyskać dostęp do poświadczeń przechowywanych w liście procesów, co może skutkować pełnym przejęciem kontroli nad systemem, naruszeniem poufności, integralności i dostępności danych.
Należy zaktualizować Virtual Appliance Host do wersji 22.0.862 lub nowszej oraz Application do wersji 20.0.2014 lub nowszej. Szczegółowe informacje dostępne są w biuletynie bezpieczeństwa producenta pod adresem wskazanym w referencjach.
Vasion Print (dawniej PrinterLogic) w wersjach Virtual Appliance Host przed 22.0.862 oraz Application przed 20.0.2014
Podatność została oznaczona przez producenta jako V-2023-011, co sugeruje, że została zidentyfikowana wewnętrznie w 2023 roku. Informacje o podatności zostały upublicznione w kwietniu 2025 roku w ramach szerszego zestawienia 83 podatności w produktach Vasion/PrinterLogic.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HPrinterlogic Vasion Print
APPPrinterlogic< 20.0.2014Printerlogic Virtual Appliance
APPPrinterlogic< 22.0.862
Powiązane podatności
Vasion Print / PrinterLogic — nieautoryzowana edycja pakietów sterowników
Hardcoded Password w Vasion Print (PrinterLogic) — dostęp bez uwierzytelnienia
Vasion Print / PrinterLogic — pominięcie uwierzytelnienia w API Single Sign-On
SQL Injection w Vasion Print (PrinterLogic) — zdalne przejęcie kontroli
Zakodowany na stałe klucz AWS API w Vasion Print (PrinterLogic)