Vasion Print (dawniej PrinterLogic) w wersjach przed Virtual Appliance Host 22.0.843 / Application 20.0.1923 ujawnia hasła w adresie URL (CWE-256). Podatność jest krytyczna, ponieważ nie wymaga uwierzytelnienia ani interakcji użytkownika i może być wykorzystana zdalnie przez sieć.
▸ Pokaż oryginał (EN)
Vasion Print (formerly PrinterLogic) before Virtual Appliance Host 22.0.843 Application 20.0.1923 allows Password in URL OVE-20230524-0005.
Aplikacja przekazuje poświadczenia (hasła) jako część adresu URL zamiast bezpieczniejszych metod, takich jak nagłówki HTTP lub dane formularza. Hasła umieszczone w URL mogą być rejestrowane w logach serwerów, historii przeglądarek, pośrednich proxy oraz systemach monitorowania sieci. Atakujący mający dostęp do tych źródeł jest w stanie odczytać hasła w postaci jawnej bez konieczności posiadania jakichkolwiek uprawnień.
Atakujący może uzyskać dostęp do poświadczeń użytkowników lub administratorów systemu druku, co prowadzi do pełnego przejęcia kont i potencjalnie całego środowiska zarządzania drukiem (naruszenie poufności, integralności i dostępności).
Należy zaktualizować oprogramowanie do wersji Virtual Appliance Host 22.0.843 oraz Application 20.0.1923 lub nowszych. Szczegółowe informacje dostępne są w biuletynie bezpieczeństwa producenta pod adresem: https://help.printerlogic.com/saas/Print/Security/Security-Bulletins.htm
Vasion Print (dawniej PrinterLogic) w wersjach: Virtual Appliance Host przed 22.0.843 oraz Application przed 20.0.1923
Podatność jest identyfikowana przez producenta jako OVE-20230524-0005, co sugeruje, że problem został pierwotnie zgłoszony wewnętrznie w maju 2023 roku. CVE zostało opublikowane 2025-03-05.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HPrinterlogic Vasion Print
APPPrinterlogic< 20.0.1923Printerlogic Virtual Appliance
APPPrinterlogic< 22.0.843
Powiązane podatności
Vasion Print / PrinterLogic — nieautoryzowana edycja pakietów sterowników
Hardcoded Password w Vasion Print (PrinterLogic) — dostęp bez uwierzytelnienia
Vasion Print / PrinterLogic — pominięcie uwierzytelnienia w API Single Sign-On
SQL Injection w Vasion Print (PrinterLogic) — zdalne przejęcie kontroli
Zakodowany na stałe klucz AWS API w Vasion Print (PrinterLogic)