Vasion Print (dawniej PrinterLogic) przed wersją Virtual Appliance Host 1.0.735 / Application 20.0.1330 nieprawidłowo obsługuje mechanizm bezpieczeństwa komunikacji między procesami klienckimi (Client Inter-process Security V-2022-004). Podatność uzyskała ocenę CVSS 9.8 (CRITICAL), co oznacza możliwość zdalnego przejęcia kontroli bez uwierzytelnienia.
▸ Pokaż oryginał (EN)
Vasion Print (formerly PrinterLogic) before Virtual Appliance Host 1.0.735 Application 20.0.1330 mishandles Client Inter-process Security V-2022-004.
Błąd sklasyfikowany jako CWE-602 (Client-Side Enforcement of Server-Side Security) wskazuje, że logika bezpieczeństwa, która powinna być egzekwowana po stronie serwera, jest nieprawidłowo implementowana lub delegowana do klienta. Atakujący może ominąć mechanizmy kontroli bezpieczeństwa komunikacji między procesami, co umożliwia interakcję z systemem w sposób nieuprawniony. Podatność jest dostępna sieciowo, nie wymaga uwierzytelnienia ani interakcji użytkownika.
Atakujący zdalny i nieuwierzytelniony może uzyskać pełny dostęp do systemu — naruszając poufność, integralność i dostępność danych oraz aplikacji zarządzającej drukowaniem.
Należy zaktualizować Vasion Print do wersji Virtual Appliance Host 1.0.735 / Application 20.0.1330 lub nowszej. Szczegółowe informacje dostępne są w biuletynach bezpieczeństwa producenta pod adresem: https://help.printerlogic.com/saas/Print/Security/Security-Bulletins.htm
Vasion Print (dawniej PrinterLogic) w wersjach Virtual Appliance Host poniżej 1.0.735 oraz Application poniżej 20.0.1330.
Podatność jest częścią szerszego zestawu 83 podatności w produktach Vasion Print / PrinterLogic, opisanego publicznie w raporcie dostępnym pod adresem https://pierrekim.github.io/blog/2025-04-08-vasion-printerlogic-83-vulnerabilities.html oraz opublikowanego na liście Full Disclosure w kwietniu 2025 r.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HPrinterlogic Vasion Print
APPPrinterlogic< 20.0.1330Printerlogic Virtual Appliance
APPPrinterlogic< 1.0.735
Powiązane podatności
Vasion Print / PrinterLogic — nieautoryzowana edycja pakietów sterowników
Hardcoded Password w Vasion Print (PrinterLogic) — dostęp bez uwierzytelnienia
Vasion Print / PrinterLogic — pominięcie uwierzytelnienia w API Single Sign-On
SQL Injection w Vasion Print (PrinterLogic) — zdalne przejęcie kontroli
Zakodowany na stałe klucz AWS API w Vasion Print (PrinterLogic)