CRITICAL🇬🇧 English

CVE-2025-27667

Vasion Print / PrinterLogic — enumeracja adresów e-mail administratorów

CVSS 9.8v3.1pub. 2025-03-05upd. 2025-04-01

Podatność w Vasion Print (dawniej PrinterLogic) umożliwia nieuwierzytelnionemu atakującemu zdalne wyliczenie (enumerację) adresów e-mail kont administracyjnych. Oceniona jako krytyczna (CVSS 9.8), może stanowić punkt wejścia do dalszych ataków ukierunkowanych na konta uprzywilejowane.

Pokaż oryginał (EN)

Vasion Print (formerly PrinterLogic) before Virtual Appliance Host 22.0.843 Application 20.0.1923 allows Administrative User Email Enumeration OVE-20230524-0011.

🤖 Analiza AI
Jak działa

Błąd sklasyfikowany jako CWE-203 (Observable Discrepancy) polega na tym, że aplikacja zwraca różne odpowiedzi w zależności od tego, czy podany adres e-mail istnieje w systemie jako konto administratora. Atakujący, wysyłając odpowiednio spreparowane żądania sieciowe bez żadnego uwierzytelnienia, może na podstawie obserwowanych różnic w odpowiedziach systemowych ustalić, które adresy e-mail są przypisane do kont administracyjnych. Podatność jest dostępna zdalnie, bez konieczności posiadania uprawnień ani interakcji po stronie użytkownika.

Skutki

Atakujący może zebrać listę adresów e-mail kont administracyjnych, co ułatwia przeprowadzenie ukierunkowanych ataków typu phishing, credential stuffing lub brute-force na te konta, potencjalnie prowadząc do przejęcia uprawnień administracyjnych nad systemem druku.

Mitygacja

Należy zaktualizować Vasion Print do wersji Virtual Appliance Host 22.0.843 lub nowszej oraz Application 20.0.1923 lub nowszej. Szczegółowe informacje dostępne są w biuletynach bezpieczeństwa producenta pod adresem https://help.printerlogic.com/saas/Print/Security/Security-Bulletins.htm

Kogo dotyczy

Vasion Print (dawniej PrinterLogic) w wersji Virtual Appliance Host poniżej 22.0.843 oraz Application poniżej 20.0.1923

Uwagi

Podatność zidentyfikowana wewnętrznym identyfikatorem producenta OVE-20230524-0011, co sugeruje, że została pierwotnie odkryta lub zgłoszona 24 maja 2023 roku.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Printerlogic Vasion Print

    APP
    Printerlogic
    < 20.0.1923
  • Printerlogic Virtual Appliance

    APP
    Printerlogic
    < 22.0.843
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-27642CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — nieautoryzowana edycja pakietów sterowników

CVE-2025-27638CRITICAL9.8PL ✓ten sam produkt

Hardcoded Password w Vasion Print (PrinterLogic) — dostęp bez uwierzytelnienia

CVE-2025-27641CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — pominięcie uwierzytelnienia w API Single Sign-On

CVE-2025-27640CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Vasion Print (PrinterLogic) — zdalne przejęcie kontroli

CVE-2025-27643CRITICAL9.8PL ✓ten sam produkt

Zakodowany na stałe klucz AWS API w Vasion Print (PrinterLogic)