Vasion Print (dawniej PrinterLogic) Virtual Appliance udostępnia nieuwierzytelnione endpointy REST API, które zwracają pliki konfiguracyjne z hasłami w postaci jawnego tekstu oraz klucz kryptograficzny APP_KEY aplikacji Laravel. Uzyskanie tego klucza pozwala atakującemu na zdalne wykonanie kodu (RCE) na urządzeniu bez jakiejkolwiek autoryzacji, co czyni tę podatność krytyczną.
▸ Pokaż oryginał (EN)
Vasion Print (formerly PrinterLogic) Virtual Appliance Host prior to version 22.0.1026 and Application prior to version 20.0.2702 (VA deployments only) expose a set of unauthenticated REST API endpoints that return configuration files and clear‑text passwords. The same endpoints also disclose the Laravel APP_KEY used for cryptographic signing. Because the APP_KEY is required to generate valid signed requests, an attacker who obtains it can craft malicious payloads that are accepted by the application and achieve remote code execution on the appliance. This vulnerability has been identified by the vendor as: V-2024-018 — RCE & Leaks via API.
Nieuwierzytelnione endpointy REST API eksponują pliki konfiguracyjne zawierające hasła w postaci clear-text (CWE-312) bez wymogu jakiegokolwiek uwierzytelnienia (CWE-306). Wśród ujawnianych danych znajduje się klucz Laravel APP_KEY, który jest używany do kryptograficznego podpisywania żądań w aplikacji. Atakujący, który pobierze ten klucz, może tworzyć złośliwe, poprawnie podpisane payloady, które aplikacja uzna za legalne i wykona, prowadząc do remote code execution na urządzeniu Virtual Appliance.
Atakujący bez żadnego uwierzytelnienia może uzyskać pełną kontrolę nad urządzeniem Virtual Appliance poprzez RCE, a także pozyskać wszystkie hasła oraz dane konfiguracyjne przechowywane w systemie. Skompromitowanie systemu zarządzania drukowaniem może prowadzić do przejęcia kontroli nad infrastrukturą drukowania całej organizacji oraz lateral movement w sieci wewnętrznej.
Należy niezwłocznie zaktualizować Virtual Appliance Host do wersji 22.0.1026 lub nowszej oraz Virtual Appliance Application do wersji 20.0.2702 lub nowszej. Do czasu aktualizacji należy rozważyć ograniczenie dostępu sieciowego do endpointów REST API urządzenia wyłącznie do zaufanych hostów za pomocą reguł firewall. Szczegóły dostępne w biuletynach bezpieczeństwa producenta pod adresem help.printerlogic.com.
Vasion Print (dawniej PrinterLogic) Virtual Appliance Host w wersji wcześniejszej niż 22.0.1026 oraz Virtual Appliance Application w wersji wcześniejszej niż 20.0.2702 — wyłącznie wdrożenia typu VA (Virtual Appliance).
Podatność została zidentyfikowana przez producenta jako V-2024-018 i opisana jako 'RCE & Leaks via API'. Dotyczy wyłącznie wdrożeń VA (Virtual Appliance) — instalacje SaaS nie są podatne.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:L/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XVasion Virtual Appliance Application
APPVasion< 20.0.2702Vasion Virtual Appliance Host
APPVasion< 22.0.1026
Powiązane podatności
Vasion Print Virtual Appliance — hasła w plikach plaintext dostępnych dla wszystkich
Vasion Print: hardcoded SSH key umożliwiający root access do appliance
Vasion Print: hardcoded klucz prywatny SSL we wszystkich instancjach
Hardcoded klucz prywatny GPG w Vasion Print Virtual Appliance
Vasion Print: hardcoded klucz prywatny CA i hasło w plikach konfiguracyjnych