Podatność w Vasion Print (dawniej PrinterLogic) umożliwia nieuprzywilejowanym użytkownikom interakcję z plikami systemowymi za pomocą symbolicznych dowiązań (symbolic links). Błąd posiada ocenę CVSS 9.8 i może prowadzić do przejęcia pełnej kontroli nad systemem.
▸ Pokaż oryginał (EN)
Vasion Print (formerly PrinterLogic) before Virtual Appliance Host 22.0.843 Application 20.0.1923 allows Symbolic Links For Unprivileged File Interaction V-2022-002.
Problem wynika z nieprawidłowo skonfigurowanych domyślnych uprawnień (CWE-276), które pozwalają nieuprzywilejowanemu użytkownikowi tworzyć lub wykorzystywać symboliczne dowiązania do plików lub zasobów, do których normalnie nie powinien mieć dostępu. Atakujący może w ten sposób odczytywać, modyfikować lub nadpisywać pliki systemowe poza swoją strefą uprawnień. Atak jest możliwy zdalnie, bez uwierzytelnienia i bez interakcji użytkownika, co czyni go szczególnie niebezpiecznym.
Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych, modyfikować pliki systemowe oraz potencjalnie przejąć pełną kontrolę nad systemem (RCE lub privilege escalation), zagrażając poufności, integralności i dostępności środowiska.
Należy zaktualizować Vasion Print Virtual Appliance Host do wersji 22.0.843 lub nowszej oraz Application do wersji 20.0.1923 lub nowszej, zgodnie z zaleceniami producenta opublikowanymi w biuletynie bezpieczeństwa pod adresem https://help.printerlogic.com/saas/Print/Security/Security-Bulletins.htm
Vasion Print (dawniej PrinterLogic) Virtual Appliance Host w wersjach przed 22.0.843 oraz Application w wersjach przed 20.0.1923
Podatność jest identyfikowana wewnętrznie przez producenta jako V-2022-002. Szczegółowa analiza techniczna dostępna jest w publicznym raporcie badacza (pierrekim.github.io) opublikowanym 8 kwietnia 2025 r. oraz na liście Full Disclosure.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HPrinterlogic Vasion Print
APPPrinterlogic< 20.0.1923Printerlogic Virtual Appliance
APPPrinterlogic< 22.0.843
Powiązane podatności
Vasion Print / PrinterLogic — nieautoryzowana edycja pakietów sterowników
Hardcoded Password w Vasion Print (PrinterLogic) — dostęp bez uwierzytelnienia
Vasion Print / PrinterLogic — pominięcie uwierzytelnienia w API Single Sign-On
SQL Injection w Vasion Print (PrinterLogic) — zdalne przejęcie kontroli
Zakodowany na stałe klucz AWS API w Vasion Print (PrinterLogic)