Podatność w Vasion Print (dawniej PrinterLogic) umożliwia atakującemu zdalne działanie bez uwierzytelnienia z powodu niewystarczającej walidacji podpisów kryptograficznych. Ocena CVSS 9.8 wskazuje na krytyczny poziom zagrożenia dla integralności, poufności i dostępności systemu.
▸ Pokaż oryginał (EN)
Vasion Print (formerly PrinterLogic) before Virtual Appliance Host 22.0.843 Application 20.0.1923 allows Insufficient Signature Validation OVE-20230524-0014.
Błąd sklasyfikowany jako CWE-347 (Improper Verification of Cryptographic Signature) oznacza, że aplikacja nie weryfikuje prawidłowo podpisów kryptograficznych dostarczanych danych lub komponentów. Atakujący może dostarczyć niepodpisane lub sfałszowane dane/pakiety, które system błędnie uzna za zaufane i przetworzy. Wektor ataku sieciowy (AV:N) bez wymagań dotyczących uwierzytelnienia (PR:N) oraz interakcji użytkownika (UI:N) czyni tę podatność wyjątkowo łatwą do wykorzystania zdalnie.
Atakujący może uzyskać pełną kontrolę nad podatnym systemem — naruszyć poufność danych, zmodyfikować konfigurację lub dane (naruszenie integralności) oraz doprowadzić do niedostępności usługi. Możliwe jest zdalne wykonanie nieautoryzowanych operacji bez jakichkolwiek uprawnień.
Należy zaktualizować Vasion Print do wersji Virtual Appliance Host 22.0.843 lub nowszej oraz Application 20.0.1923 lub nowszej. Szczegółowe informacje dostępne są w biuletynie bezpieczeństwa producenta pod adresem https://help.printerlogic.com/saas/Print/Security/Security-Bulletins.htm
Vasion Print (dawniej PrinterLogic) w wersji Virtual Appliance Host poniżej 22.0.843 oraz Application poniżej 20.0.1923.
Podatność oznaczona identyfikatorem wewnętrznym producenta OVE-20230524-0014, co sugeruje, że została pierwotnie zidentyfikowana 24 maja 2023 roku, natomiast CVE opublikowano 5 marca 2025 roku.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HPrinterlogic Vasion Print
APPPrinterlogic< 20.0.1923Printerlogic Virtual Appliance
APPPrinterlogic< 22.0.843
Powiązane podatności
Vasion Print / PrinterLogic — nieautoryzowana edycja pakietów sterowników
Hardcoded Password w Vasion Print (PrinterLogic) — dostęp bez uwierzytelnienia
Vasion Print / PrinterLogic — pominięcie uwierzytelnienia w API Single Sign-On
SQL Injection w Vasion Print (PrinterLogic) — zdalne przejęcie kontroli
Zakodowany na stałe klucz AWS API w Vasion Print (PrinterLogic)