CRITICAL🇬🇧 English

CVE-2025-27656

Vasion Print / PrinterLogic: hasło ujawnione w liście procesów

CVSS 9.8v3.1pub. 2025-03-05upd. 2025-11-03

Podatność w Vasion Print (dawniej PrinterLogic) umożliwia odczyt hasła z listy procesów systemowych bez uwierzytelnienia. Jest to podatność krytyczna (CVSS 9.8) polegająca na niezabezpieczonym przechowywaniu poświadczeń, co może prowadzić do pełnego przejęcia systemu.

Pokaż oryginał (EN)

Vasion Print (formerly PrinterLogic) before Virtual Appliance Host 22.0.862 Application 20.0.2014 allows Password Stored in Process List V-2023-011.

🤖 Analiza AI
Jak działa

Aplikacja przechowuje hasło w sposób widoczny w liście procesów systemowych (process list), co klasyfikowane jest jako CWE-256 (Plaintext Storage of a Password). Osoba lub proces mający dostęp do listy procesów — lokalnie lub zdalnie — może odczytać hasło bez konieczności posiadania uprawnień ani interakcji użytkownika. Wektor ataku jest sieciowy, a złożoność ataku niska, co czyni tę podatność szczególnie niebezpieczną.

Skutki

Atakujący może uzyskać dostęp do poświadczeń przechowywanych w liście procesów, co może skutkować pełnym przejęciem kontroli nad systemem, naruszeniem poufności, integralności i dostępności danych.

Mitygacja

Należy zaktualizować Virtual Appliance Host do wersji 22.0.862 lub nowszej oraz Application do wersji 20.0.2014 lub nowszej. Szczegółowe informacje dostępne są w biuletynie bezpieczeństwa producenta pod adresem wskazanym w referencjach.

Kogo dotyczy

Vasion Print (dawniej PrinterLogic) w wersjach Virtual Appliance Host przed 22.0.862 oraz Application przed 20.0.2014

Uwagi

Podatność została oznaczona przez producenta jako V-2023-011, co sugeruje, że została zidentyfikowana wewnętrznie w 2023 roku. Informacje o podatności zostały upublicznione w kwietniu 2025 roku w ramach szerszego zestawienia 83 podatności w produktach Vasion/PrinterLogic.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Printerlogic Vasion Print

    APP
    Printerlogic
    < 20.0.2014
  • Printerlogic Virtual Appliance

    APP
    Printerlogic
    < 22.0.862
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-27642CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — nieautoryzowana edycja pakietów sterowników

CVE-2025-27638CRITICAL9.8PL ✓ten sam produkt

Hardcoded Password w Vasion Print (PrinterLogic) — dostęp bez uwierzytelnienia

CVE-2025-27641CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — pominięcie uwierzytelnienia w API Single Sign-On

CVE-2025-27640CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Vasion Print (PrinterLogic) — zdalne przejęcie kontroli

CVE-2025-27643CRITICAL9.8PL ✓ten sam produkt

Zakodowany na stałe klucz AWS API w Vasion Print (PrinterLogic)