CRITICAL🇬🇧 English

CVE-2025-27650

Vasion Print / PrinterLogic: prywatne klucze w Docker Overlay

CVSS 9.8v3.1pub. 2025-03-05upd. 2025-11-03

Podatność w Vasion Print (dawniej PrinterLogic) umożliwia nieautoryzowany dostęp do prywatnych kluczy kryptograficznych przechowywanych w warstwie Docker Overlay. Jest to podatność krytyczna (CVSS 9.8), ponieważ nie wymaga uwierzytelnienia ani interakcji użytkownika, a jej wykorzystanie może prowadzić do pełnego przejęcia systemu.

Pokaż oryginał (EN)

Vasion Print (formerly PrinterLogic) before Virtual Appliance Host 22.0.862 Application 20.0.2014 allows Private Keys in Docker Overlay V-2023-013.

🤖 Analiza AI
Jak działa

Aplikacja nieprawidłowo zabezpiecza prywatne klucze kryptograficzne (CWE-522 – Insufficiently Protected Credentials), przechowując je w warstwie Docker Overlay w sposób dostępny dla nieuwierzytelnionego atakującego. Wektor ataku jest sieciowy, nie wymaga żadnych uprawnień ani interakcji ze strony użytkownika. Uzyskanie tych kluczy pozwala atakującemu na odszyfrowanie chronionych danych lub podszycie się pod zaufane komponenty systemu.

Skutki

Atakujący może uzyskać dostęp do prywatnych kluczy kryptograficznych, co potencjalnie umożliwia pełne naruszenie poufności, integralności i dostępności systemu (ocena C:H/I:H/A:H w wektorze CVSS). Klucze mogą zostać wykorzystane do dalszych ataków, w tym deszyfrowania komunikacji lub lateral movement w infrastrukturze.

Mitygacja

Należy zaktualizować Vasion Print do wersji Virtual Appliance Host 22.0.862 lub nowszej oraz Application 20.0.2014 lub nowszej. Szczegółowe informacje dostępne są w biuletynach bezpieczeństwa producenta pod adresem: https://help.printerlogic.com/saas/Print/Security/Security-Bulletins.htm

Kogo dotyczy

Vasion Print (dawniej PrinterLogic) w wersjach Virtual Appliance Host poniżej 22.0.862 oraz Application poniżej 20.0.2014.

Uwagi

Podatność oznaczona jako V-2023-013 w biuletynach producenta. Dostępne są publiczne materiały techniczne (wpis badacza pierrekim.github.io z 2025-04-08 oraz publikacja na liście Full Disclosure z 2025-04-18), jednak CISA KEV nie odnotowało aktywnej eksploatacji.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Printerlogic Vasion Print

    APP
    Printerlogic
    < 20.0.2014
  • Printerlogic Virtual Appliance

    APP
    Printerlogic
    < 22.0.862
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Container
CWE
Referencje

Powiązane podatności

CVE-2025-27642CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — nieautoryzowana edycja pakietów sterowników

CVE-2025-27638CRITICAL9.8PL ✓ten sam produkt

Hardcoded Password w Vasion Print (PrinterLogic) — dostęp bez uwierzytelnienia

CVE-2025-27641CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — pominięcie uwierzytelnienia w API Single Sign-On

CVE-2025-27640CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Vasion Print (PrinterLogic) — zdalne przejęcie kontroli

CVE-2025-27643CRITICAL9.8PL ✓ten sam produkt

Zakodowany na stałe klucz AWS API w Vasion Print (PrinterLogic)