CRITICAL🇬🇧 English

CVE-2025-27673

Vasion Print / PrinterLogic: Cookie ujawniony w treści odpowiedzi HTTP

CVSS 9.1v3.1pub. 2025-03-05upd. 2025-04-01

Podatność w Vasion Print (dawniej PrinterLogic) przed wersjami Virtual Appliance Host 22.0.843 i Application 20.0.1923 powoduje, że wrażliwe dane cookie są zwracane w treści odpowiedzi HTTP. Jest to groźne, ponieważ atakujący może przechwycić sesję użytkownika lub uzyskać nieautoryzowany dostęp do systemu bez konieczności uwierzytelniania.

Pokaż oryginał (EN)

Vasion Print (formerly PrinterLogic) before Virtual Appliance Host 22.0.843 Application 20.0.1923 allows Cookie Returned in Response Body OVE-20230524-0017.

🤖 Analiza AI
Jak działa

Problem sklasyfikowany jako CWE-539 (Use of Persistent Cookies Containing Sensitive Information) polega na tym, że aplikacja nieprawidłowo obsługuje cookie — zamiast przechowywać je wyłącznie w nagłówkach HTTP, ujawnia je w treści odpowiedzi (response body). Oznacza to, że aplikacja kliencka lub pośredniczący komponent może nieświadomie ekspozować zawartość cookie na skrypty lub inne mechanizmy odczytu treści odpowiedzi. Podatność jest dostępna zdalnie, bez uwierzytelnienia i nie wymaga interakcji użytkownika, co czyni ją szczególnie łatwą do wykorzystania.

Skutki

Atakujący może odczytać wrażliwe dane cookie (np. tokeny sesyjne) i wykorzystać je do przejęcia sesji uwierzytelnionego użytkownika lub uzyskania nieautoryzowanego dostępu do systemu zarządzania drukiem, co prowadzi do naruszenia poufności i integralności danych.

Mitygacja

Należy zaktualizować środowisko do wersji Virtual Appliance Host 22.0.843 lub nowszej oraz Application 20.0.1923 lub nowszej. Szczegółowe informacje dostępne są w biuletynach bezpieczeństwa producenta pod adresem: https://help.printerlogic.com/saas/Print/Security/Security-Bulletins.htm

Kogo dotyczy

Vasion Print (dawniej PrinterLogic) w wersjach: Virtual Appliance Host przed 22.0.843 oraz Application przed 20.0.1923

Uwagi

Podatność zidentyfikowana wewnętrznym identyfikatorem producenta OVE-20230524-0017, co sugeruje, że problem był znany co najmniej od maja 2023 r., mimo że CVE zostało opublikowane dopiero 2025-03-05.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Printerlogic Vasion Print

    APP
    Printerlogic
    < 20.0.1923
  • Printerlogic Virtual Appliance

    APP
    Printerlogic
    < 22.0.843
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-27642CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — nieautoryzowana edycja pakietów sterowników

CVE-2025-27638CRITICAL9.8PL ✓ten sam produkt

Hardcoded Password w Vasion Print (PrinterLogic) — dostęp bez uwierzytelnienia

CVE-2025-27641CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — pominięcie uwierzytelnienia w API Single Sign-On

CVE-2025-27640CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Vasion Print (PrinterLogic) — zdalne przejęcie kontroli

CVE-2025-27643CRITICAL9.8PL ✓ten sam produkt

Zakodowany na stałe klucz AWS API w Vasion Print (PrinterLogic)