CRITICAL🇬🇧 English

CVE-2025-34210

Vasion Print Virtual Appliance — hasła w plikach plaintext dostępnych dla wszystkich

CVSS 9.4v4.0pub. 2025-10-02upd. 2025-10-09

Vasion Print (dawniej PrinterLogic) Virtual Appliance przechowuje liczne wrażliwe poświadczenia — w tym hasła do baz danych, hasło root MySQL, klucze SaaS oraz hasło administratora Portainer — w plikach tekstowych odczytywanych przez wszystkich użytkowników systemu. Dowolny lokalny użytkownik lub proces mogący odczytać system plików hosta może pozyskać wszystkie te sekrety w formie jawnej, co prowadzi do pełnego przejęcia urządzenia.

Pokaż oryginał (EN)

Vasion Print (formerly PrinterLogic) Virtual Appliance Host and Application (VA/SaaS deployments) store a large number of sensitive credentials (database passwords, MySQL root password, SaaS keys, Portainer admin password, etc.) in cleartext files that are world-readable. Any local user - or any process that can read the host filesystem - can retrieve all of these secrets in plain text, leading to credential theft and full compromise of the appliance. The vendor does not consider this to be a security vulnerability as this product "follows a shared responsibility model, where administrators are expected to configure persistent storage encryption."

🤖 Analiza AI
Jak działa

Podatność wynika z klasyfikowanego jako CWE-256 przechowywania haseł w postaci niezaszyfrowanej (plaintext). Pliki zawierające poświadczenia są oznaczone uprawnieniami world-readable, tzn. każdy użytkownik lub proces działający na hoście może je odczytać bez żadnych dodatkowych uprawnień. Atakujący, który uzyska minimalny dostęp lokalny (np. przez inną podatność), może jednym poleceniem odczytać komplet krytycznych haseł — bazy danych, MySQL root, klucze SaaS oraz konto administratora Portainer. Producent nie uznaje tego za podatność bezpieczeństwa, powołując się na model współdzielonej odpowiedzialności i oczekiwanie, że administratorzy skonfigurują szyfrowanie storage'u.

Skutki

Atakujący uzyskuje dostęp do pełnego zestawu krytycznych poświadczeń środowiska Virtual Appliance, co w praktyce oznacza pełny kompromis urządzenia — w tym dostęp do bazy danych, infrastruktury kontenerowej (Portainer) oraz kluczy integracji z usługami SaaS.

Mitygacja

Producent nie wydał patcha, gdyż nie uznaje problemu za podatność bezpieczeństwa. Zalecane działania kompensacyjne: włączenie szyfrowania persistent storage zgodnie z dokumentacją producenta (model współdzielonej odpowiedzialności), ograniczenie dostępu lokalnego do hosta wyłącznie do zaufanych kont administracyjnych, stosowanie zasady najmniejszych uprawnień dla procesów działających na hoście, monitorowanie nieautoryzowanego dostępu do plików konfiguracyjnych. Należy śledzić biuletyny bezpieczeństwa producenta pod adresami wskazanymi w referencjach.

Kogo dotyczy

Vasion Print (dawniej PrinterLogic) Virtual Appliance Application oraz Virtual Appliance Host we wdrożeniach VA/SaaS; konkretne wersje wskazane w referencjach producenta

Uwagi

Producent oficjalnie nie uznaje tego problemu za podatność bezpieczeństwa, argumentując że produkt działa zgodnie z modelem współdzielonej odpowiedzialności (shared responsibility model) i wymaga od administratorów samodzielnej konfiguracji szyfrowania storage'u. Podatność została upubliczniona wraz z 83 innymi podatnościami w produkcie Vasion Print w publikacji badacza Pierre'a Kima z dnia 8 kwietnia 2025 r.

CVSS Vector
CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Vasion Virtual Appliance Application

    APP
    Vasion
    wszystkie wersje
  • Vasion Virtual Appliance Host

    APP
    Vasion
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-34217CRITICAL10.0PL ✓ten sam produkt

Vasion Print: hardcoded SSH key umożliwiający root access do appliance

CVE-2025-34215CRITICAL9.4PL ✓ten sam produkt

Vasion Print Virtual Appliance — nieautoryzowane RCE przez firmware-upload

CVE-2025-34196CRITICAL9.3PL ✓ten sam produkt

Vasion Print: hardcoded klucz prywatny CA i hasło w plikach konfiguracyjnych

CVE-2025-34209CRITICAL9.4PL ✓ten sam produkt

Hardcoded klucz prywatny GPG w Vasion Print Virtual Appliance

CVE-2025-34211CRITICAL9.3PL ✓ten sam produkt

Vasion Print: hardcoded klucz prywatny SSL we wszystkich instancjach