Vasion Print (dawniej PrinterLogic) przed wersją Virtual Appliance Host 22.0.913 / Application 20.0.2253 zawiera podatność umożliwiającą nieautoryzowany dostęp do haseł należących do innych dzierżawców (tenantów) w środowisku wielodostępnym. Podatność posiada ocenę krytyczną CVSS 9.8, co czyni ją ekstremalnie niebezpieczną.
▸ Pokaż oryginał (EN)
Vasion Print (formerly PrinterLogic) before Virtual Appliance Host 22.0.913 Application 20.0.2253 allows Cross Tenant Password Exposure V-2024-003.
Podatność sklasyfikowana jako CWE-522 (Insufficiently Protected Credentials) polega na nieprawidłowej izolacji danych uwierzytelniających między dzierżawcami w architekturze multi-tenant systemu Vasion Print. Atakujący działający w kontekście jednego tenanta może uzyskać dostęp do poświadczeń (haseł) przypisanych do innego tenanta, bez konieczności uwierzytelnienia, interakcji użytkownika ani wysokich uprawnień — co potwierdza wektor sieciowy bez wymagań wstępnych (AV:N/AC:L/PR:N/UI:N).
Atakujący może przejąć hasła innych organizacji korzystających z tej samej instancji Vasion Print, co może prowadzić do przejęcia kont, nieautoryzowanego dostępu do zasobów sieciowych oraz naruszenia poufności i integralności danych na szeroką skalę.
Należy jak najszybciej zaktualizować Vasion Print do wersji Virtual Appliance Host 22.0.913 lub nowszej oraz Application 20.0.2253 lub nowszej. Szczegółowe informacje dostępne w biuletynie bezpieczeństwa producenta pod adresem https://help.printerlogic.com/saas/Print/Security/Security-Bulletins.htm
Vasion Print (dawniej PrinterLogic) — Virtual Appliance Host w wersjach przed 22.0.913 oraz Application w wersjach przed 20.0.2253
Podatność posiada identyfikator wewnętrzny producenta V-2024-003. Dostępne są publiczne informacje techniczne, w tym wpis na liście Full Disclosure (seclists.org) oraz analiza badacza bezpieczeństwa opublikowana w kwietniu 2025 roku, obejmująca łącznie 83 podatności w produktach Vasion/PrinterLogic.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HPrinterlogic Vasion Print
APPPrinterlogic< 20.0.2253Printerlogic Virtual Appliance
APPPrinterlogic< 22.0.913
Powiązane podatności
Vasion Print / PrinterLogic — nieautoryzowana edycja pakietów sterowników
Hardcoded Password w Vasion Print (PrinterLogic) — dostęp bez uwierzytelnienia
Vasion Print / PrinterLogic — pominięcie uwierzytelnienia w API Single Sign-On
SQL Injection w Vasion Print (PrinterLogic) — zdalne przejęcie kontroli
Zakodowany na stałe klucz AWS API w Vasion Print (PrinterLogic)