CRITICAL🇬🇧 English

CVE-2025-27682

Insecure Log Permissions w Vasion Print (PrinterLogic) — nieautoryzowany dostęp

CVSS 9.8v3.1pub. 2025-03-05upd. 2025-11-03

Vasion Print (dawniej PrinterLogic) w wersjach przed Virtual Appliance Host 1.0.735 / Application 20.0.1330 posiada nieprawidłowo skonfigurowane uprawnienia do plików dziennika (log). Podatność sklasyfikowana jako krytyczna (CVSS 9.8) może umożliwić nieuprawnionemu atakującemu dostęp do wrażliwych danych lub modyfikację systemu bez uwierzytelnienia.

Pokaż oryginał (EN)

Vasion Print (formerly PrinterLogic) before Virtual Appliance Host 1.0.735 Application 20.0.1330 allows Insecure Log Permissions V-2022-005.

🤖 Analiza AI
Jak działa

Błąd wynika z niepoprawnych domyślnych uprawnień (CWE-276) nadanych plikom lub katalogom logów aplikacji. Zbyt liberalne uprawnienia pozwalają nieuwierzytelnionemu atakującemu sieciowemu na odczyt lub zapis plików dziennika bez konieczności posiadania jakichkolwiek uprawnień ani interakcji użytkownika. Wektor ataku jest sieciowy, bez wymaganego uwierzytelnienia i bez interakcji użytkownika, co czyni podatność szczególnie niebezpieczną w środowiskach z ekspozycją na sieć.

Skutki

Atakujący może uzyskać dostęp do poufnych informacji zawartych w logach aplikacji (np. danych uwierzytelniających, danych użytkowników) oraz potencjalnie modyfikować lub usuwać logi, co zagraża integralności i dostępności systemu.

Mitygacja

Należy zaktualizować Vasion Print do wersji Virtual Appliance Host 1.0.735 / Application 20.0.1330 lub nowszej. Szczegółowe informacje dostępne są w biuletynie bezpieczeństwa producenta pod adresem https://help.printerlogic.com/saas/Print/Security/Security-Bulletins.htm

Kogo dotyczy

Vasion Print (dawniej PrinterLogic) Virtual Appliance Host w wersjach przed 1.0.735 oraz Application w wersjach przed 20.0.1330

Uwagi

Podatność oznaczona przez producenta jako V-2022-005, co sugeruje jej identyfikację już w 2022 roku. Publiczne informacje techniczne zostały ujawnione w kwietniu 2025 r. na blogu badacza Pierre'a Kima oraz na liście Full Disclosure, jako część raportu obejmującego 83 podatności w produktach Vasion/PrinterLogic.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Printerlogic Vasion Print

    APP
    Printerlogic
    < 20.0.1330
  • Printerlogic Virtual Appliance

    APP
    Printerlogic
    < 1.0.735
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-27642CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — nieautoryzowana edycja pakietów sterowników

CVE-2025-27638CRITICAL9.8PL ✓ten sam produkt

Hardcoded Password w Vasion Print (PrinterLogic) — dostęp bez uwierzytelnienia

CVE-2025-27641CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — pominięcie uwierzytelnienia w API Single Sign-On

CVE-2025-27640CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Vasion Print (PrinterLogic) — zdalne przejęcie kontroli

CVE-2025-27643CRITICAL9.8PL ✓ten sam produkt

Zakodowany na stałe klucz AWS API w Vasion Print (PrinterLogic)