Podatność w Vasion Print (dawniej PrinterLogic) umożliwia dołączanie dowolnych zewnętrznych treści za pośrednictwem elementu Iframe (CWE-829). Ocena CVSS 9.8 wskazuje na krytyczne zagrożenie, które nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika.
▸ Pokaż oryginał (EN)
Vasion Print (formerly PrinterLogic) before Virtual Appliance Host 22.0.843 Application 20.0.1923 allows Arbitrary Content Inclusion via Iframe OVE-20230524-0012.
Luka sklasyfikowana jako CWE-829 (Inclusion of Functionality from Untrusted Control Sphere) pozwala atakującemu na osadzenie w interfejsie aplikacji dowolnych zewnętrznych zasobów poprzez niekontrolowany element Iframe. Mechanizm nie wymaga posiadania konta ani żadnej formy autoryzacji, a połączenie sieciowe z podatną instancją jest wystarczające do przeprowadzenia ataku. Poprzez wstrzyknięcie złośliwej zawartości atakujący może manipulować tym, co użytkownik widzi i z czym wchodzi w interakcję w kontekście aplikacji do zarządzania drukarkami.
Atakujący może doprowadzić do pełnego naruszenia poufności, integralności i dostępności systemu — w szczególności do kradzieży danych uwierzytelniających, wykonywania złośliwego kodu w przeglądarce ofiary lub manipulowania interfejsem aplikacji w celu dalszej eskalacji ataku.
Należy zaktualizować Vasion Print do wersji Virtual Appliance Host 22.0.843 lub nowszej oraz Application 20.0.1923 lub nowszej. Szczegółowe informacje dostępne są w biuletynie bezpieczeństwa producenta pod adresem: https://help.printerlogic.com/saas/Print/Security/Security-Bulletins.htm
Vasion Print (dawniej PrinterLogic) w wersji Virtual Appliance Host poniżej 22.0.843 oraz Application poniżej 20.0.1923
Podatność jest śledzona wewnętrznie przez producenta pod identyfikatorem OVE-20230524-0012, co wskazuje, że problem został pierwotnie zidentyfikowany w maju 2023 roku, natomiast CVE opublikowano 2025-03-05.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HPrinterlogic Vasion Print
APPPrinterlogic< 20.0.1923Printerlogic Virtual Appliance
APPPrinterlogic< 22.0.843
Powiązane podatności
Vasion Print / PrinterLogic — nieautoryzowana edycja pakietów sterowników
Hardcoded Password w Vasion Print (PrinterLogic) — dostęp bez uwierzytelnienia
Vasion Print / PrinterLogic — pominięcie uwierzytelnienia w API Single Sign-On
SQL Injection w Vasion Print (PrinterLogic) — zdalne przejęcie kontroli
Zakodowany na stałe klucz AWS API w Vasion Print (PrinterLogic)