CRITICAL🇬🇧 English

CVE-2025-27662

Hasło w URL w Vasion Print / PrinterLogic (CVE-2025-27662)

CVSS 9.8v3.1pub. 2025-03-05upd. 2025-04-01

Vasion Print (dawniej PrinterLogic) w wersjach przed Virtual Appliance Host 22.0.843 / Application 20.0.1923 ujawnia hasła w adresie URL (CWE-256). Podatność jest krytyczna, ponieważ nie wymaga uwierzytelnienia ani interakcji użytkownika i może być wykorzystana zdalnie przez sieć.

Pokaż oryginał (EN)

Vasion Print (formerly PrinterLogic) before Virtual Appliance Host 22.0.843 Application 20.0.1923 allows Password in URL OVE-20230524-0005.

🤖 Analiza AI
Jak działa

Aplikacja przekazuje poświadczenia (hasła) jako część adresu URL zamiast bezpieczniejszych metod, takich jak nagłówki HTTP lub dane formularza. Hasła umieszczone w URL mogą być rejestrowane w logach serwerów, historii przeglądarek, pośrednich proxy oraz systemach monitorowania sieci. Atakujący mający dostęp do tych źródeł jest w stanie odczytać hasła w postaci jawnej bez konieczności posiadania jakichkolwiek uprawnień.

Skutki

Atakujący może uzyskać dostęp do poświadczeń użytkowników lub administratorów systemu druku, co prowadzi do pełnego przejęcia kont i potencjalnie całego środowiska zarządzania drukiem (naruszenie poufności, integralności i dostępności).

Mitygacja

Należy zaktualizować oprogramowanie do wersji Virtual Appliance Host 22.0.843 oraz Application 20.0.1923 lub nowszych. Szczegółowe informacje dostępne są w biuletynie bezpieczeństwa producenta pod adresem: https://help.printerlogic.com/saas/Print/Security/Security-Bulletins.htm

Kogo dotyczy

Vasion Print (dawniej PrinterLogic) w wersjach: Virtual Appliance Host przed 22.0.843 oraz Application przed 20.0.1923

Uwagi

Podatność jest identyfikowana przez producenta jako OVE-20230524-0005, co sugeruje, że problem został pierwotnie zgłoszony wewnętrznie w maju 2023 roku. CVE zostało opublikowane 2025-03-05.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Printerlogic Vasion Print

    APP
    Printerlogic
    < 20.0.1923
  • Printerlogic Virtual Appliance

    APP
    Printerlogic
    < 22.0.843
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-27642CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — nieautoryzowana edycja pakietów sterowników

CVE-2025-27638CRITICAL9.8PL ✓ten sam produkt

Hardcoded Password w Vasion Print (PrinterLogic) — dostęp bez uwierzytelnienia

CVE-2025-27641CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — pominięcie uwierzytelnienia w API Single Sign-On

CVE-2025-27640CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Vasion Print (PrinterLogic) — zdalne przejęcie kontroli

CVE-2025-27643CRITICAL9.8PL ✓ten sam produkt

Zakodowany na stałe klucz AWS API w Vasion Print (PrinterLogic)