CRITICAL🇬🇧 English

CVE-2025-27640

SQL Injection w Vasion Print (PrinterLogic) — zdalne przejęcie kontroli

CVSS 9.8v3.1pub. 2025-03-05upd. 2025-04-01

W aplikacji Vasion Print (dawniej PrinterLogic) wykryto krytyczną podatność typu SQL Injection, umożliwiającą nieuwierzytelnionemu atakującemu zdalne wykonanie złośliwych zapytań do bazy danych. Ocena CVSS 9.8 wskazuje na maksymalne zagrożenie dla poufności, integralności i dostępności systemu.

Pokaż oryginał (EN)

Vasion Print (formerly PrinterLogic) before Virtual Appliance Host 22.0.1002 Application 20.0.2614 allows SQL Injection V-2024-012.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-89 (SQL Injection) polega na braku odpowiedniej walidacji lub parametryzacji danych wejściowych przekazywanych do zapytań bazodanowych. Atakujący może bez uwierzytelnienia, przez sieć, przesłać spreparowane zapytanie zawierające złośliwy payload SQL. Pozwala to na manipulację logiką zapytań wykonywanych przez aplikację wobec bazy danych.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do danych przechowywanych w bazie, modyfikować lub usuwać dane, a w określonych konfiguracjach doprowadzić do pełnego przejęcia systemu lub jego niedostępności.

Mitygacja

Należy zaktualizować Vasion Print do wersji Virtual Appliance Host 22.0.1002 lub nowszej oraz Application 20.0.2614 lub nowszej. Szczegółowe informacje dostępne są w biuletynie bezpieczeństwa producenta pod adresem: https://help.printerlogic.com/saas/Print/Security/Security-Bulletins.htm

Kogo dotyczy

Vasion Print (dawniej PrinterLogic) w wersji Virtual Appliance Host poniżej 22.0.1002 oraz Application poniżej 20.0.2614

Uwagi

Podatność opisana przez producenta jako V-2024-012 w biuletynie bezpieczeństwa Vasion Print.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Printerlogic Vasion Print

    APP
    Printerlogic
    < 20.0.2614
  • Printerlogic Virtual Appliance

    APP
    Printerlogic
    < 22.0.1002
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2025-27643CRITICAL9.8PL ✓ten sam produkt

Zakodowany na stałe klucz AWS API w Vasion Print (PrinterLogic)

CVE-2025-27638CRITICAL9.8PL ✓ten sam produkt

Hardcoded Password w Vasion Print (PrinterLogic) — dostęp bez uwierzytelnienia

CVE-2025-27642CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — nieautoryzowana edycja pakietów sterowników

CVE-2025-27641CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — pominięcie uwierzytelnienia w API Single Sign-On

CVE-2025-27645CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — niebezpieczna instalacja rozszerzeń przez HTTP