CRITICAL🇬🇧 English

CVE-2025-27642

Vasion Print / PrinterLogic — nieautoryzowana edycja pakietów sterowników

CVSS 9.8v3.1pub. 2025-03-05upd. 2025-11-03

Podatność w Vasion Print (dawniej PrinterLogic) umożliwia nieuwierzytelnionemu atakującemu edycję pakietów sterowników drukarki bez żadnego uwierzytelnienia. Ze względu na wynik CVSS 9.8 i brak wymogu interakcji użytkownika stanowi krytyczne zagrożenie dla infrastruktury druku.

Pokaż oryginał (EN)

Vasion Print (formerly PrinterLogic) before Virtual Appliance Host 22.0.933 Application 20.0.2368 allows Unauthenticated Driver Package Editing V-2024-008.

🤖 Analiza AI
Jak działa

Aplikacja nie wymaga uwierzytelnienia (CWE-306 — brakująca kontrola dostępu) do funkcji odpowiedzialnych za zarządzanie pakietami sterowników. Atakujący zdalnie, przez sieć, bez żadnych uprawnień i bez udziału użytkownika może modyfikować pakiety sterowników udostępniane klientom druku. Podrzucony pakiet sterownika może zawierać złośliwy kod, który zostanie następnie zainstalowany na stacjach roboczych pobierających sterowniki z serwera.

Skutki

Atakujący może podmienić legalne pakiety sterowników na złośliwe, co prowadzi do kompromitacji poufności, integralności i dostępności systemów — w tym potencjalnego przejęcia kontroli nad stacjami roboczymi pobierającymi zainfekowane sterowniki.

Mitygacja

Należy zaktualizować Virtual Appliance Host do wersji 22.0.933 lub nowszej oraz Application do wersji 20.0.2368 lub nowszej. Szczegółowe informacje dostępne w biuletynie bezpieczeństwa producenta pod adresem wskazanym w referencjach.

Kogo dotyczy

Vasion Print (dawniej PrinterLogic) w wersjach Virtual Appliance Host poniżej 22.0.933 oraz Application poniżej 20.0.2368

Uwagi

Podatność identyfikowana przez producenta jako V-2024-008. Dostępna jest publiczna analiza techniczna (pierrekim.github.io, kwiecień 2025) obejmująca łącznie 83 podatności w produktach Vasion/PrinterLogic, a szczegóły zostały ujawnione również na liście Full Disclosure.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Printerlogic Vasion Print

    APP
    Printerlogic
    < 20.0.2368
  • Printerlogic Virtual Appliance

    APP
    Printerlogic
    < 22.0.933
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-27643CRITICAL9.8PL ✓ten sam produkt

Zakodowany na stałe klucz AWS API w Vasion Print (PrinterLogic)

CVE-2025-27638CRITICAL9.8PL ✓ten sam produkt

Hardcoded Password w Vasion Print (PrinterLogic) — dostęp bez uwierzytelnienia

CVE-2025-27641CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — pominięcie uwierzytelnienia w API Single Sign-On

CVE-2025-27640CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Vasion Print (PrinterLogic) — zdalne przejęcie kontroli

CVE-2025-27645CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — niebezpieczna instalacja rozszerzeń przez HTTP