CRITICAL🇬🇧 English

CVE-2025-27648

Vasion Print / PrinterLogic — ujawnienie haseł między dzierżawcami (Cross Tenant)

CVSS 9.8v3.1pub. 2025-03-05upd. 2025-11-03

Vasion Print (dawniej PrinterLogic) przed wersją Virtual Appliance Host 22.0.913 / Application 20.0.2253 zawiera podatność umożliwiającą nieautoryzowany dostęp do haseł należących do innych dzierżawców (tenantów) w środowisku wielodostępnym. Podatność posiada ocenę krytyczną CVSS 9.8, co czyni ją ekstremalnie niebezpieczną.

Pokaż oryginał (EN)

Vasion Print (formerly PrinterLogic) before Virtual Appliance Host 22.0.913 Application 20.0.2253 allows Cross Tenant Password Exposure V-2024-003.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-522 (Insufficiently Protected Credentials) polega na nieprawidłowej izolacji danych uwierzytelniających między dzierżawcami w architekturze multi-tenant systemu Vasion Print. Atakujący działający w kontekście jednego tenanta może uzyskać dostęp do poświadczeń (haseł) przypisanych do innego tenanta, bez konieczności uwierzytelnienia, interakcji użytkownika ani wysokich uprawnień — co potwierdza wektor sieciowy bez wymagań wstępnych (AV:N/AC:L/PR:N/UI:N).

Skutki

Atakujący może przejąć hasła innych organizacji korzystających z tej samej instancji Vasion Print, co może prowadzić do przejęcia kont, nieautoryzowanego dostępu do zasobów sieciowych oraz naruszenia poufności i integralności danych na szeroką skalę.

Mitygacja

Należy jak najszybciej zaktualizować Vasion Print do wersji Virtual Appliance Host 22.0.913 lub nowszej oraz Application 20.0.2253 lub nowszej. Szczegółowe informacje dostępne w biuletynie bezpieczeństwa producenta pod adresem https://help.printerlogic.com/saas/Print/Security/Security-Bulletins.htm

Kogo dotyczy

Vasion Print (dawniej PrinterLogic) — Virtual Appliance Host w wersjach przed 22.0.913 oraz Application w wersjach przed 20.0.2253

Uwagi

Podatność posiada identyfikator wewnętrzny producenta V-2024-003. Dostępne są publiczne informacje techniczne, w tym wpis na liście Full Disclosure (seclists.org) oraz analiza badacza bezpieczeństwa opublikowana w kwietniu 2025 roku, obejmująca łącznie 83 podatności w produktach Vasion/PrinterLogic.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Printerlogic Vasion Print

    APP
    Printerlogic
    < 20.0.2253
  • Printerlogic Virtual Appliance

    APP
    Printerlogic
    < 22.0.913
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-27642CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — nieautoryzowana edycja pakietów sterowników

CVE-2025-27638CRITICAL9.8PL ✓ten sam produkt

Hardcoded Password w Vasion Print (PrinterLogic) — dostęp bez uwierzytelnienia

CVE-2025-27641CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — pominięcie uwierzytelnienia w API Single Sign-On

CVE-2025-27640CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Vasion Print (PrinterLogic) — zdalne przejęcie kontroli

CVE-2025-27643CRITICAL9.8PL ✓ten sam produkt

Zakodowany na stałe klucz AWS API w Vasion Print (PrinterLogic)