CRITICAL🇬🇧 English

CVE-2025-27677

Vasion Print / PrinterLogic — eskalacja uprawnień przez symboliczne dowiązania

CVSS 9.8v3.1pub. 2025-03-05upd. 2025-11-03

Podatność w Vasion Print (dawniej PrinterLogic) umożliwia nieuprzywilejowanym użytkownikom interakcję z plikami systemowymi za pomocą symbolicznych dowiązań (symbolic links). Błąd posiada ocenę CVSS 9.8 i może prowadzić do przejęcia pełnej kontroli nad systemem.

Pokaż oryginał (EN)

Vasion Print (formerly PrinterLogic) before Virtual Appliance Host 22.0.843 Application 20.0.1923 allows Symbolic Links For Unprivileged File Interaction V-2022-002.

🤖 Analiza AI
Jak działa

Problem wynika z nieprawidłowo skonfigurowanych domyślnych uprawnień (CWE-276), które pozwalają nieuprzywilejowanemu użytkownikowi tworzyć lub wykorzystywać symboliczne dowiązania do plików lub zasobów, do których normalnie nie powinien mieć dostępu. Atakujący może w ten sposób odczytywać, modyfikować lub nadpisywać pliki systemowe poza swoją strefą uprawnień. Atak jest możliwy zdalnie, bez uwierzytelnienia i bez interakcji użytkownika, co czyni go szczególnie niebezpiecznym.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych, modyfikować pliki systemowe oraz potencjalnie przejąć pełną kontrolę nad systemem (RCE lub privilege escalation), zagrażając poufności, integralności i dostępności środowiska.

Mitygacja

Należy zaktualizować Vasion Print Virtual Appliance Host do wersji 22.0.843 lub nowszej oraz Application do wersji 20.0.1923 lub nowszej, zgodnie z zaleceniami producenta opublikowanymi w biuletynie bezpieczeństwa pod adresem https://help.printerlogic.com/saas/Print/Security/Security-Bulletins.htm

Kogo dotyczy

Vasion Print (dawniej PrinterLogic) Virtual Appliance Host w wersjach przed 22.0.843 oraz Application w wersjach przed 20.0.1923

Uwagi

Podatność jest identyfikowana wewnętrznie przez producenta jako V-2022-002. Szczegółowa analiza techniczna dostępna jest w publicznym raporcie badacza (pierrekim.github.io) opublikowanym 8 kwietnia 2025 r. oraz na liście Full Disclosure.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Printerlogic Vasion Print

    APP
    Printerlogic
    < 20.0.1923
  • Printerlogic Virtual Appliance

    APP
    Printerlogic
    < 22.0.843
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-27642CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — nieautoryzowana edycja pakietów sterowników

CVE-2025-27638CRITICAL9.8PL ✓ten sam produkt

Hardcoded Password w Vasion Print (PrinterLogic) — dostęp bez uwierzytelnienia

CVE-2025-27641CRITICAL9.8PL ✓ten sam produkt

Vasion Print / PrinterLogic — pominięcie uwierzytelnienia w API Single Sign-On

CVE-2025-27640CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Vasion Print (PrinterLogic) — zdalne przejęcie kontroli

CVE-2025-27643CRITICAL9.8PL ✓ten sam produkt

Zakodowany na stałe klucz AWS API w Vasion Print (PrinterLogic)