CRITICAL🇬🇧 English

CVE-2025-27668

Vasion Print / PrinterLogic — dołączanie dowolnych treści przez Iframe

CVSS 9.8v3.1pub. 2025-03-05upd. 2025-04-01

Podatność w Vasion Print (dawniej PrinterLogic) umożliwia dołączanie dowolnych zewnętrznych treści za pośrednictwem elementu Iframe (CWE-829). Ocena CVSS 9.8 wskazuje na krytyczne zagrożenie, które nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika.

Pokaż oryginał (EN)

Vasion Print (formerly PrinterLogic) before Virtual Appliance Host 22.0.843 Application 20.0.1923 allows Arbitrary Content Inclusion via Iframe OVE-20230524-0012.

🤖 Analiza AI
Jak działa

Luka sklasyfikowana jako CWE-829 (Inclusion of Functionality from Untrusted Control Sphere) pozwala atakującemu na osadzenie w interfejsie aplikacji dowolnych zewnętrznych zasobów poprzez niekontrolowany element Iframe. Mechanizm nie wymaga posiadania konta ani żadnej formy autoryzacji, a połączenie sieciowe z podatną instancją jest wystarczające do przeprowadzenia ataku. Poprzez wstrzyknięcie złośliwej zawartości atakujący może manipulować tym, co użytkownik widzi i z czym wchodzi w interakcję w kontekście aplikacji do zarządzania drukarkami.

Skutki

Atakujący może doprowadzić do pełnego naruszenia poufności, integralności i dostępności systemu — w szczególności do kradzieży danych uwierzytelniających, wykonywania złośliwego kodu w przeglądarce ofiary lub manipulowania interfejsem aplikacji w celu dalszej eskalacji ataku.

Mitygacja

Należy zaktualizować Vasion Print do wersji Virtual Appliance Host 22.0.843 lub nowszej oraz Application 20.0.1923 lub nowszej. Szczegółowe informacje dostępne są w biuletynie bezpieczeństwa producenta pod adresem: https://help.printerlogic.com/saas/Print/Security/Security-Bulletins.htm

Kogo dotyczy

Vasion Print (dawniej PrinterLogic) w wersji Virtual Appliance Host poniżej 22.0.843 oraz Application poniżej 20.0.1923

Uwagi

Podatność jest śledzona wewnętrznie przez producenta pod identyfikatorem OVE-20230524-0012, co wskazuje, że problem został pierwotnie zidentyfikowany w maju 2023 roku, natomiast CVE opublikowano 2025-03-05.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Printerlogic Vasion Print

    APP
    Printerlogic
    < 20.0.1923
  • Printerlogic Virtual Appliance

    APP
    Printerlogic
    < 22.0.843
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-27642CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — nieautoryzowana edycja pakietów sterowników

CVE-2025-27638CRITICAL9.8PL ✓ten sam produkt

Hardcoded Password w Vasion Print (PrinterLogic) — dostęp bez uwierzytelnienia

CVE-2025-27641CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — pominięcie uwierzytelnienia w API Single Sign-On

CVE-2025-27640CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Vasion Print (PrinterLogic) — zdalne przejęcie kontroli

CVE-2025-27643CRITICAL9.8PL ✓ten sam produkt

Zakodowany na stałe klucz AWS API w Vasion Print (PrinterLogic)