Vasion Print (dawniej PrinterLogic) w wersjach przed Virtual Appliance Host 1.0.735 / Application 20.0.1330 posiada nieprawidłowo skonfigurowane uprawnienia do plików dziennika (log). Podatność sklasyfikowana jako krytyczna (CVSS 9.8) może umożliwić nieuprawnionemu atakującemu dostęp do wrażliwych danych lub modyfikację systemu bez uwierzytelnienia.
▸ Pokaż oryginał (EN)
Vasion Print (formerly PrinterLogic) before Virtual Appliance Host 1.0.735 Application 20.0.1330 allows Insecure Log Permissions V-2022-005.
Błąd wynika z niepoprawnych domyślnych uprawnień (CWE-276) nadanych plikom lub katalogom logów aplikacji. Zbyt liberalne uprawnienia pozwalają nieuwierzytelnionemu atakującemu sieciowemu na odczyt lub zapis plików dziennika bez konieczności posiadania jakichkolwiek uprawnień ani interakcji użytkownika. Wektor ataku jest sieciowy, bez wymaganego uwierzytelnienia i bez interakcji użytkownika, co czyni podatność szczególnie niebezpieczną w środowiskach z ekspozycją na sieć.
Atakujący może uzyskać dostęp do poufnych informacji zawartych w logach aplikacji (np. danych uwierzytelniających, danych użytkowników) oraz potencjalnie modyfikować lub usuwać logi, co zagraża integralności i dostępności systemu.
Należy zaktualizować Vasion Print do wersji Virtual Appliance Host 1.0.735 / Application 20.0.1330 lub nowszej. Szczegółowe informacje dostępne są w biuletynie bezpieczeństwa producenta pod adresem https://help.printerlogic.com/saas/Print/Security/Security-Bulletins.htm
Vasion Print (dawniej PrinterLogic) Virtual Appliance Host w wersjach przed 1.0.735 oraz Application w wersjach przed 20.0.1330
Podatność oznaczona przez producenta jako V-2022-005, co sugeruje jej identyfikację już w 2022 roku. Publiczne informacje techniczne zostały ujawnione w kwietniu 2025 r. na blogu badacza Pierre'a Kima oraz na liście Full Disclosure, jako część raportu obejmującego 83 podatności w produktach Vasion/PrinterLogic.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HPrinterlogic Vasion Print
APPPrinterlogic< 20.0.1330Printerlogic Virtual Appliance
APPPrinterlogic< 1.0.735
Powiązane podatności
Vasion Print / PrinterLogic — nieautoryzowana edycja pakietów sterowników
Hardcoded Password w Vasion Print (PrinterLogic) — dostęp bez uwierzytelnienia
Vasion Print / PrinterLogic — pominięcie uwierzytelnienia w API Single Sign-On
SQL Injection w Vasion Print (PrinterLogic) — zdalne przejęcie kontroli
Zakodowany na stałe klucz AWS API w Vasion Print (PrinterLogic)