Vasion Print (dawniej PrinterLogic) zawiera zakodowany na stałe klucz AWS API (Hardcoded AWS API Key), co stanowi krytyczną podatność klasy CWE-798. Atakujący niewymagający żadnego uwierzytelnienia może wykorzystać ten klucz do uzyskania nieuprawnionego dostępu do zasobów AWS powiązanych z produktem.
▸ Pokaż oryginał (EN)
Vasion Print (formerly PrinterLogic) before Virtual Appliance Host 22.0.933 Application 20.0.2368 allows Hardcoded AWS API Key V-2024-006.
Podatność polega na tym, że statyczny klucz dostępowy AWS API został wbudowany bezpośrednio w kod aplikacji lub konfigurację systemu Vasion Print. Klucz ten jest identyczny we wszystkich instalacjach produktu przed podatną wersją, co oznacza, że każdy kto go odnajdzie — np. poprzez analizę binarną, wyciek kodu lub inny kanał — może go natychmiast użyć. Wektor ataku jest sieciowy, nie wymaga żadnych uprawnień ani interakcji ze strony użytkownika (CVSS AV:N/AC:L/PR:N/UI:N), co czyni tę podatność szczególnie niebezpieczną.
Atakujący może uzyskać pełny nieautoryzowany dostęp do zasobów AWS skojarzonych z aplikacją, co potencjalnie prowadzi do ujawnienia poufnych danych, modyfikacji infrastruktury chmurowej oraz poważnych naruszeń poufności, integralności i dostępności systemu.
Należy zaktualizować Vasion Print do wersji Virtual Appliance Host 22.0.933 / Application 20.0.2368 lub nowszej. Zaleca się także natychmiastową rotację (unieważnienie i wymianę) potencjalnie skompromitowanego klucza AWS API we własnym środowisku chmurowym oraz weryfikację logów AWS pod kątem nieautoryzowanego użycia klucza. Szczegóły dostępne w biuletynie bezpieczeństwa producenta.
Vasion Print (dawniej PrinterLogic) w wersji Virtual Appliance Host przed 22.0.933 oraz Application przed 20.0.2368
Podatność została opublikowana jako część szerszego raportu badacza Pierre'a Kima, opisującego 83 podatności w produktach Vasion/PrinterLogic (opublikowany 2025-04-08). Identyfikator wewnętrzny producenta: V-2024-006.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HPrinterlogic Vasion Print
APPPrinterlogic< 20.0.2368Printerlogic Virtual Appliance
APPPrinterlogic< 22.0.933
Powiązane podatności
Vasion Print / PrinterLogic — nieautoryzowana edycja pakietów sterowników
Hardcoded Password w Vasion Print (PrinterLogic) — dostęp bez uwierzytelnienia
Vasion Print / PrinterLogic — pominięcie uwierzytelnienia w API Single Sign-On
SQL Injection w Vasion Print (PrinterLogic) — zdalne przejęcie kontroli
Vasion Print / PrinterLogic — niebezpieczna instalacja rozszerzeń przez HTTP