CRITICAL🇬🇧 English

CVE-2025-27638

Hardcoded Password w Vasion Print (PrinterLogic) — dostęp bez uwierzytelnienia

CVSS 9.8v3.1pub. 2025-03-05upd. 2025-11-03

Vasion Print (dawniej PrinterLogic) zawiera zakodowane na stałe hasło (hardcoded password) w kodzie aplikacji, co pozwala atakującemu na uzyskanie nieautoryzowanego dostępu. Podatność otrzymała ocenę CVSS 9.8 (CRITICAL) i nie wymaga żadnych uprawnień ani interakcji użytkownika.

Pokaż oryginał (EN)

Vasion Print (formerly PrinterLogic) before Virtual Appliance Host 22.0.1002 Application 20.0.2614 allows Hardcoded Password V-2024-013.

🤖 Analiza AI
Jak działa

Aplikacja Vasion Print zawiera statycznie zakodowane hasło w swoim kodzie źródłowym lub konfiguracji (CWE-259 — Use of Hard-coded Password). Atakujący znający to hasło może uwierzytelnić się do systemu bez potrzeby posiadania legalnych poświadczeń. Podatność jest dostępna zdalnie przez sieć bez żadnych wymagań wstępnych, co czyni ją szczególnie niebezpieczną w środowiskach eksponowanych na Internet.

Skutki

Atakujący może uzyskać pełny, nieautoryzowany dostęp do systemu zarządzania drukowaniem, co może prowadzić do naruszenia poufności danych, modyfikacji konfiguracji lub zakłócenia dostępności usług drukowania w organizacji.

Mitygacja

Należy jak najszybciej zaktualizować Vasion Print do wersji Virtual Appliance Host 22.0.1002 lub nowszej oraz Application 20.0.2614 lub nowszej. Szczegóły dostępne są w biuletynach bezpieczeństwa producenta pod adresem help.printerlogic.com.

Kogo dotyczy

Vasion Print (dawniej PrinterLogic) w wersjach Virtual Appliance Host przed 22.0.1002 oraz Application przed 20.0.2614

Uwagi

Podatność oznaczona przez producenta jako V-2024-013. Szczegółowa analiza techniczna dostępna jest w raporcie zewnętrznego badacza opublikowanym w serwisie pierrekim.github.io (kwiecień 2025), obejmującym łącznie 83 podatności w produktach Vasion/PrinterLogic.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Printerlogic Vasion Print

    APP
    Printerlogic
    < 20.0.2614
  • Printerlogic Virtual Appliance

    APP
    Printerlogic
    < 22.0.1002
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-27642CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — nieautoryzowana edycja pakietów sterowników

CVE-2025-27643CRITICAL9.8PL ✓ten sam produkt

Zakodowany na stałe klucz AWS API w Vasion Print (PrinterLogic)

CVE-2025-27640CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Vasion Print (PrinterLogic) — zdalne przejęcie kontroli

CVE-2025-27641CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — pominięcie uwierzytelnienia w API Single Sign-On

CVE-2025-27645CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — niebezpieczna instalacja rozszerzeń przez HTTP