CRITICAL🇬🇧 English

CVE-2025-27681

Nieprawidłowa obsługa bezpieczeństwa procesów klienckich w Vasion Print (PrinterLogic)

CVSS 9.8v3.1pub. 2025-03-05upd. 2025-11-03

Vasion Print (dawniej PrinterLogic) przed wersją Virtual Appliance Host 1.0.735 / Application 20.0.1330 nieprawidłowo obsługuje mechanizm bezpieczeństwa komunikacji między procesami klienckimi (Client Inter-process Security V-2022-004). Podatność uzyskała ocenę CVSS 9.8 (CRITICAL), co oznacza możliwość zdalnego przejęcia kontroli bez uwierzytelnienia.

Pokaż oryginał (EN)

Vasion Print (formerly PrinterLogic) before Virtual Appliance Host 1.0.735 Application 20.0.1330 mishandles Client Inter-process Security V-2022-004.

🤖 Analiza AI
Jak działa

Błąd sklasyfikowany jako CWE-602 (Client-Side Enforcement of Server-Side Security) wskazuje, że logika bezpieczeństwa, która powinna być egzekwowana po stronie serwera, jest nieprawidłowo implementowana lub delegowana do klienta. Atakujący może ominąć mechanizmy kontroli bezpieczeństwa komunikacji między procesami, co umożliwia interakcję z systemem w sposób nieuprawniony. Podatność jest dostępna sieciowo, nie wymaga uwierzytelnienia ani interakcji użytkownika.

Skutki

Atakujący zdalny i nieuwierzytelniony może uzyskać pełny dostęp do systemu — naruszając poufność, integralność i dostępność danych oraz aplikacji zarządzającej drukowaniem.

Mitygacja

Należy zaktualizować Vasion Print do wersji Virtual Appliance Host 1.0.735 / Application 20.0.1330 lub nowszej. Szczegółowe informacje dostępne są w biuletynach bezpieczeństwa producenta pod adresem: https://help.printerlogic.com/saas/Print/Security/Security-Bulletins.htm

Kogo dotyczy

Vasion Print (dawniej PrinterLogic) w wersjach Virtual Appliance Host poniżej 1.0.735 oraz Application poniżej 20.0.1330.

Uwagi

Podatność jest częścią szerszego zestawu 83 podatności w produktach Vasion Print / PrinterLogic, opisanego publicznie w raporcie dostępnym pod adresem https://pierrekim.github.io/blog/2025-04-08-vasion-printerlogic-83-vulnerabilities.html oraz opublikowanego na liście Full Disclosure w kwietniu 2025 r.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Printerlogic Vasion Print

    APP
    Printerlogic
    < 20.0.1330
  • Printerlogic Virtual Appliance

    APP
    Printerlogic
    < 1.0.735
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-27642CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — nieautoryzowana edycja pakietów sterowników

CVE-2025-27638CRITICAL9.8PL ✓ten sam produkt

Hardcoded Password w Vasion Print (PrinterLogic) — dostęp bez uwierzytelnienia

CVE-2025-27641CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — pominięcie uwierzytelnienia w API Single Sign-On

CVE-2025-27640CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Vasion Print (PrinterLogic) — zdalne przejęcie kontroli

CVE-2025-27643CRITICAL9.8PL ✓ten sam produkt

Zakodowany na stałe klucz AWS API w Vasion Print (PrinterLogic)

CVE-2025-27681 — Nieprawidłowa obsługa bezpieczeństwa procesów klienckich w Vasion Print (PrinterLogic) — CRITICAL 9.8 | CVEbaza.pl