CRITICAL🇬🇧 English

CVE-2025-27643

Zakodowany na stałe klucz AWS API w Vasion Print (PrinterLogic)

CVSS 9.8v3.1pub. 2025-03-05upd. 2025-11-03

Vasion Print (dawniej PrinterLogic) zawiera zakodowany na stałe klucz AWS API (Hardcoded AWS API Key), co stanowi krytyczną podatność klasy CWE-798. Atakujący niewymagający żadnego uwierzytelnienia może wykorzystać ten klucz do uzyskania nieuprawnionego dostępu do zasobów AWS powiązanych z produktem.

Pokaż oryginał (EN)

Vasion Print (formerly PrinterLogic) before Virtual Appliance Host 22.0.933 Application 20.0.2368 allows Hardcoded AWS API Key V-2024-006.

🤖 Analiza AI
Jak działa

Podatność polega na tym, że statyczny klucz dostępowy AWS API został wbudowany bezpośrednio w kod aplikacji lub konfigurację systemu Vasion Print. Klucz ten jest identyczny we wszystkich instalacjach produktu przed podatną wersją, co oznacza, że każdy kto go odnajdzie — np. poprzez analizę binarną, wyciek kodu lub inny kanał — może go natychmiast użyć. Wektor ataku jest sieciowy, nie wymaga żadnych uprawnień ani interakcji ze strony użytkownika (CVSS AV:N/AC:L/PR:N/UI:N), co czyni tę podatność szczególnie niebezpieczną.

Skutki

Atakujący może uzyskać pełny nieautoryzowany dostęp do zasobów AWS skojarzonych z aplikacją, co potencjalnie prowadzi do ujawnienia poufnych danych, modyfikacji infrastruktury chmurowej oraz poważnych naruszeń poufności, integralności i dostępności systemu.

Mitygacja

Należy zaktualizować Vasion Print do wersji Virtual Appliance Host 22.0.933 / Application 20.0.2368 lub nowszej. Zaleca się także natychmiastową rotację (unieważnienie i wymianę) potencjalnie skompromitowanego klucza AWS API we własnym środowisku chmurowym oraz weryfikację logów AWS pod kątem nieautoryzowanego użycia klucza. Szczegóły dostępne w biuletynie bezpieczeństwa producenta.

Kogo dotyczy

Vasion Print (dawniej PrinterLogic) w wersji Virtual Appliance Host przed 22.0.933 oraz Application przed 20.0.2368

Uwagi

Podatność została opublikowana jako część szerszego raportu badacza Pierre'a Kima, opisującego 83 podatności w produktach Vasion/PrinterLogic (opublikowany 2025-04-08). Identyfikator wewnętrzny producenta: V-2024-006.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Printerlogic Vasion Print

    APP
    Printerlogic
    < 20.0.2368
  • Printerlogic Virtual Appliance

    APP
    Printerlogic
    < 22.0.933
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-27642CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — nieautoryzowana edycja pakietów sterowników

CVE-2025-27638CRITICAL9.8PL ✓ten sam produkt

Hardcoded Password w Vasion Print (PrinterLogic) — dostęp bez uwierzytelnienia

CVE-2025-27641CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — pominięcie uwierzytelnienia w API Single Sign-On

CVE-2025-27640CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Vasion Print (PrinterLogic) — zdalne przejęcie kontroli

CVE-2025-27645CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — niebezpieczna instalacja rozszerzeń przez HTTP