W aplikacji Vasion Print (dawniej PrinterLogic) wykryto krytyczną podatność typu SQL Injection, umożliwiającą nieuwierzytelnionemu atakującemu zdalne wykonanie złośliwych zapytań do bazy danych. Ocena CVSS 9.8 wskazuje na maksymalne zagrożenie dla poufności, integralności i dostępności systemu.
▸ Pokaż oryginał (EN)
Vasion Print (formerly PrinterLogic) before Virtual Appliance Host 22.0.1002 Application 20.0.2614 allows SQL Injection V-2024-012.
Podatność sklasyfikowana jako CWE-89 (SQL Injection) polega na braku odpowiedniej walidacji lub parametryzacji danych wejściowych przekazywanych do zapytań bazodanowych. Atakujący może bez uwierzytelnienia, przez sieć, przesłać spreparowane zapytanie zawierające złośliwy payload SQL. Pozwala to na manipulację logiką zapytań wykonywanych przez aplikację wobec bazy danych.
Atakujący może uzyskać nieautoryzowany dostęp do danych przechowywanych w bazie, modyfikować lub usuwać dane, a w określonych konfiguracjach doprowadzić do pełnego przejęcia systemu lub jego niedostępności.
Należy zaktualizować Vasion Print do wersji Virtual Appliance Host 22.0.1002 lub nowszej oraz Application 20.0.2614 lub nowszej. Szczegółowe informacje dostępne są w biuletynie bezpieczeństwa producenta pod adresem: https://help.printerlogic.com/saas/Print/Security/Security-Bulletins.htm
Vasion Print (dawniej PrinterLogic) w wersji Virtual Appliance Host poniżej 22.0.1002 oraz Application poniżej 20.0.2614
Podatność opisana przez producenta jako V-2024-012 w biuletynie bezpieczeństwa Vasion Print.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HPrinterlogic Vasion Print
APPPrinterlogic< 20.0.2614Printerlogic Virtual Appliance
APPPrinterlogic< 22.0.1002
Powiązane podatności
Zakodowany na stałe klucz AWS API w Vasion Print (PrinterLogic)
Hardcoded Password w Vasion Print (PrinterLogic) — dostęp bez uwierzytelnienia
Vasion Print / PrinterLogic — nieautoryzowana edycja pakietów sterowników
Vasion Print / PrinterLogic — pominięcie uwierzytelnienia w API Single Sign-On
Vasion Print / PrinterLogic — niebezpieczna instalacja rozszerzeń przez HTTP