Vasion Print (dawniej PrinterLogic) Virtual Appliance przechowuje liczne wrażliwe poświadczenia — w tym hasła do baz danych, hasło root MySQL, klucze SaaS oraz hasło administratora Portainer — w plikach tekstowych odczytywanych przez wszystkich użytkowników systemu. Dowolny lokalny użytkownik lub proces mogący odczytać system plików hosta może pozyskać wszystkie te sekrety w formie jawnej, co prowadzi do pełnego przejęcia urządzenia.
▸ Pokaż oryginał (EN)
Vasion Print (formerly PrinterLogic) Virtual Appliance Host and Application (VA/SaaS deployments) store a large number of sensitive credentials (database passwords, MySQL root password, SaaS keys, Portainer admin password, etc.) in cleartext files that are world-readable. Any local user - or any process that can read the host filesystem - can retrieve all of these secrets in plain text, leading to credential theft and full compromise of the appliance. The vendor does not consider this to be a security vulnerability as this product "follows a shared responsibility model, where administrators are expected to configure persistent storage encryption."
Podatność wynika z klasyfikowanego jako CWE-256 przechowywania haseł w postaci niezaszyfrowanej (plaintext). Pliki zawierające poświadczenia są oznaczone uprawnieniami world-readable, tzn. każdy użytkownik lub proces działający na hoście może je odczytać bez żadnych dodatkowych uprawnień. Atakujący, który uzyska minimalny dostęp lokalny (np. przez inną podatność), może jednym poleceniem odczytać komplet krytycznych haseł — bazy danych, MySQL root, klucze SaaS oraz konto administratora Portainer. Producent nie uznaje tego za podatność bezpieczeństwa, powołując się na model współdzielonej odpowiedzialności i oczekiwanie, że administratorzy skonfigurują szyfrowanie storage'u.
Atakujący uzyskuje dostęp do pełnego zestawu krytycznych poświadczeń środowiska Virtual Appliance, co w praktyce oznacza pełny kompromis urządzenia — w tym dostęp do bazy danych, infrastruktury kontenerowej (Portainer) oraz kluczy integracji z usługami SaaS.
Producent nie wydał patcha, gdyż nie uznaje problemu za podatność bezpieczeństwa. Zalecane działania kompensacyjne: włączenie szyfrowania persistent storage zgodnie z dokumentacją producenta (model współdzielonej odpowiedzialności), ograniczenie dostępu lokalnego do hosta wyłącznie do zaufanych kont administracyjnych, stosowanie zasady najmniejszych uprawnień dla procesów działających na hoście, monitorowanie nieautoryzowanego dostępu do plików konfiguracyjnych. Należy śledzić biuletyny bezpieczeństwa producenta pod adresami wskazanymi w referencjach.
Vasion Print (dawniej PrinterLogic) Virtual Appliance Application oraz Virtual Appliance Host we wdrożeniach VA/SaaS; konkretne wersje wskazane w referencjach producenta
Producent oficjalnie nie uznaje tego problemu za podatność bezpieczeństwa, argumentując że produkt działa zgodnie z modelem współdzielonej odpowiedzialności (shared responsibility model) i wymaga od administratorów samodzielnej konfiguracji szyfrowania storage'u. Podatność została upubliczniona wraz z 83 innymi podatnościami w produkcie Vasion Print w publikacji badacza Pierre'a Kima z dnia 8 kwietnia 2025 r.
CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XVasion Virtual Appliance Application
APPVasionwszystkie wersjeVasion Virtual Appliance Host
APPVasionwszystkie wersje
Powiązane podatności
Vasion Print: hardcoded SSH key umożliwiający root access do appliance
Vasion Print Virtual Appliance — nieautoryzowane RCE przez firmware-upload
Vasion Print: hardcoded klucz prywatny CA i hasło w plikach konfiguracyjnych
Hardcoded klucz prywatny GPG w Vasion Print Virtual Appliance
Vasion Print: hardcoded klucz prywatny SSL we wszystkich instancjach