Vasion Print (dawniej PrinterLogic) Virtual Appliance zawiera martwy kod PHP w wielu kontenerach Docker, w tym niezabezpieczony endpoint resetroot.php oraz podatny wzorzec deserializacji. Atakujący bez żadnego uwierzytelnienia może zresetować hasło administratora bazy danych, a w połączeniu z podatnością deserializacji uzyskać pełny dostęp do systemu poprzez RCE.
▸ Pokaż oryginał (EN)
Vasion Print (formerly PrinterLogic) Virtual Appliance Host versions prior to 22.0.843 and Application prior to 20.0.1923 (VA and SaaS deployments) contains dangerous PHP dead code present in multiple Docker-hosted PHP instances. A script named /var/www/app/resetroot.php (found in several containers) lacks authentication checks and, when executed, performs a SQL update that sets the database administrator username to 'root' and its password hash to the SHA-512 hash of the string 'password'. Separately, commented-out code in /var/www/app/lib/common/oses.php would unserialize session data (unserialize($_SESSION['osdata']))—a pattern that can enable remote code execution if re-enabled or reached with attacker-controlled serialized data. An attacker able to reach the resetroot.php endpoint can trivially reset the MySQL root password and obtain full database control; combined with deserialization issues this can lead to full remote code execution and system compromise. This vulnerability has been identified by the vendor as: V-2023-003 — Dead / Insecure PHP Code.
Skrypt /var/www/app/resetroot.php obecny w wielu kontenerach Docker nie posiada żadnej weryfikacji tożsamości. Po wywołaniu wykonuje aktualizację SQL, która ustawia nazwę użytkownika administratora MySQL na 'root' oraz jego hasło na hash SHA-512 ciągu 'password', co daje atakującemu natychmiastową kontrolę nad bazą danych. Niezależnie od powyższego, w pliku /var/www/app/lib/common/oses.php znajduje się zakomentowany kod wykonujący deserializację danych sesji (unserialize($_SESSION['osdata'])). Jeśli taki kod zostałby aktywowany lub osiągnięty z danymi sesji kontrolowanymi przez atakującego, umożliwiałby wykonanie dowolnego kodu (RCE) poprzez złośliwy payload w postaci zserializowanego obiektu PHP.
Atakujący może bez uwierzytelnienia przejąć pełną kontrolę nad bazą danych MySQL, a w połączeniu z możliwością RCE wynikającą z niebezpiecznego wzorca deserializacji — doprowadzić do całkowitego przejęcia systemu.
Należy zaktualizować Virtual Appliance Host do wersji 22.0.843 lub nowszej oraz Virtual Appliance Application do wersji 20.0.1923 lub nowszej. Szczegółowe informacje dostępne są w biuletynach bezpieczeństwa producenta pod adresami wskazanymi w referencjach. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu sieciowego do endpointów aplikacji wyłącznie do zaufanych hostów.
Vasion Print (dawniej PrinterLogic) Virtual Appliance Host w wersjach wcześniejszych niż 22.0.843 oraz Virtual Appliance Application w wersjach wcześniejszych niż 20.0.1923 (dotyczy wdrożeń VA oraz SaaS).
Podatność została zidentyfikowana przez producenta jako V-2023-003 — Dead / Insecure PHP Code. Techniczne szczegóły zostały opublikowane w badaniu Pierre'a Kima (pierrekim.github.io) opisującym 83 podatności w produktach Vasion/PrinterLogic.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XVasion Virtual Appliance Application
APPVasion< 20.0.1923Vasion Virtual Appliance Host
APPVasion< 22.0.843
Powiązane podatności
Vasion Print Virtual Appliance — hasła w plikach plaintext dostępnych dla wszystkich
Vasion Print: hardcoded SSH key umożliwiający root access do appliance
Vasion Print: hardcoded klucz prywatny SSL we wszystkich instancjach
Hardcoded klucz prywatny GPG w Vasion Print Virtual Appliance
Vasion Print: hardcoded klucz prywatny CA i hasło w plikach konfiguracyjnych