Podatność w Vasion Print (dawniej PrinterLogic) umożliwia instalację niebezpiecznych rozszerzeń poprzez zaufanie niezabezpieczonym metodom HTTP po stronie serwera. Ze względu na brak wymagania uwierzytelnienia (PR:N, UI:N) i sieciowy wektor ataku, podatność jest oceniana jako krytyczna z wynikiem CVSS 9.8.
▸ Pokaż oryginał (EN)
Vasion Print (formerly PrinterLogic) before Virtual Appliance Host 22.0.933 Application 20.0.2368 allows Insecure Extension Installation by Trusting HTTP Permission Methods on the Server Side V-2024-005.
Aplikacja nieprawidłowo weryfikuje uprawnienia podczas instalacji rozszerzeń, ufając metodom HTTP przesyłanym przez klienta bez odpowiedniej walidacji po stronie serwera (CWE-863 — nieprawidłowa autoryzacja). Atakujący zdalnie, bez uwierzytelnienia i interakcji użytkownika, może przesłać żądanie HTTP powodujące instalację złośliwego rozszerzenia. Serwer akceptuje takie żądanie, traktując je jako uprawnione na podstawie samej metody HTTP.
Atakujący może zainstalować złośliwe rozszerzenie na serwerze druku, co potencjalnie prowadzi do pełnego przejęcia kontroli nad systemem, utraty poufności danych, naruszenia integralności oraz dostępności usług drukowania.
Należy zaktualizować Virtual Appliance Host do wersji 22.0.933 lub nowszej oraz Application do wersji 20.0.2368 lub nowszej. Szczegółowe informacje dostępne są w biuletynie bezpieczeństwa producenta pod adresem help.printerlogic.com.
Vasion Print (dawniej PrinterLogic) — Virtual Appliance Host w wersjach przed 22.0.933 oraz Application w wersjach przed 20.0.2368
Podatność oznaczona przez producenta jako V-2024-005. Szczegółowa analiza techniczna dostępna jest publicznie pod adresem pierrekim.github.io oraz w serwisie seclists.org (Full Disclosure, kwiecień 2025), co zwiększa ryzyko wykorzystania.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HPrinterlogic Vasion Print
APPPrinterlogic< 20.0.2368Printerlogic Virtual Appliance
APPPrinterlogic< 22.0.933
Powiązane podatności
Vasion Print / PrinterLogic — nieautoryzowana edycja pakietów sterowników
Hardcoded Password w Vasion Print (PrinterLogic) — dostęp bez uwierzytelnienia
Vasion Print / PrinterLogic — pominięcie uwierzytelnienia w API Single Sign-On
SQL Injection w Vasion Print (PrinterLogic) — zdalne przejęcie kontroli
Zakodowany na stałe klucz AWS API w Vasion Print (PrinterLogic)