CRITICAL🇬🇧 English

CVE-2025-27663

Słabe szyfrowanie haseł w Vasion Print (PrinterLogic) — CVE-2025-27663

CVSS 9.8v3.1pub. 2025-03-05upd. 2025-04-01

Podatność w Vasion Print (dawniej PrinterLogic) umożliwia odzyskanie haseł użytkowników wskutek zastosowania słabego mechanizmu ich szyfrowania lub kodowania. Krytyczny poziom oceny CVSS 9.8 wskazuje, że luka może być wykorzystana zdalnie bez uwierzytelnienia i bez interakcji użytkownika.

Pokaż oryginał (EN)

Vasion Print (formerly PrinterLogic) before Virtual Appliance Host 22.0.843 Application 20.0.1923 allows Weak Password Encryption / Encoding OVE-20230524-0007.

🤖 Analiza AI
Jak działa

Aplikacja Vasion Print przechowuje lub przetwarza hasła z użyciem słabego algorytmu szyfrowania bądź kodowania (CWE-521), co nie zapewnia odpowiedniej ochrony kryptograficznej. Atakujący, który uzyska dostęp do przechowywanych danych (np. poprzez inną podatność lub dostęp do systemu plików/bazy danych), może stosunkowo łatwo odwrócić proces i odzyskać hasła w postaci jawnej. Brak wymagań dotyczących silnych mechanizmów ochrony haseł sprawia, że dane uwierzytelniające są narażone na kompromitację.

Skutki

Atakujący może odzyskać hasła użytkowników lub administratorów systemu druku, co prowadzi do nieautoryzowanego dostępu do zasobów, przejęcia kont oraz potencjalnego dalszego ruchu w sieci organizacji (lateral movement).

Mitygacja

Należy zaktualizować Vasion Print do wersji Virtual Appliance Host 22.0.843 lub nowszej oraz Application 20.0.1923 lub nowszej. Szczegółowe informacje dostępne są w biuletynach bezpieczeństwa producenta pod adresem: https://help.printerlogic.com/saas/Print/Security/Security-Bulletins.htm

Kogo dotyczy

Vasion Print (dawniej PrinterLogic) w wersji Virtual Appliance Host poniżej 22.0.843 oraz Application poniżej 20.0.1923

Uwagi

Podatność jest powiązana z identyfikatorem wewnętrznym OVE-20230524-0007, co sugeruje, że pierwotne jej odkrycie nastąpiło w maju 2023 roku, natomiast CVE zostało opublikowane 5 marca 2025 roku.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Printerlogic Vasion Print

    APP
    Printerlogic
    < 20.0.1923
  • Printerlogic Virtual Appliance

    APP
    Printerlogic
    < 22.0.843
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-27642CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — nieautoryzowana edycja pakietów sterowników

CVE-2025-27638CRITICAL9.8PL ✓ten sam produkt

Hardcoded Password w Vasion Print (PrinterLogic) — dostęp bez uwierzytelnienia

CVE-2025-27641CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — pominięcie uwierzytelnienia w API Single Sign-On

CVE-2025-27640CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Vasion Print (PrinterLogic) — zdalne przejęcie kontroli

CVE-2025-27643CRITICAL9.8PL ✓ten sam produkt

Zakodowany na stałe klucz AWS API w Vasion Print (PrinterLogic)