CRITICAL✓ PATCH🇬🇧 English

CVE-2025-34215

Vasion Print Virtual Appliance — nieautoryzowane RCE przez firmware-upload

CVSS 9.4v4.0pub. 2025-09-29upd. 2025-10-18

Podatność w Vasion Print (dawniej PrinterLogic) Virtual Appliance pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie kodu poprzez przesłanie złośliwego firmware'u. Krytyczne CVSS 9.4 wynika z połączenia publicznego endpointu aktualizacji, twardokodowanego klucza GPG i hasła zawartych w każdym obrazie Docker.

Pokaż oryginał (EN)

Vasion Print (formerly PrinterLogic) Virtual Appliance Host prior to version 22.0.1026 and Application prior to version 20.0.2702 (only VA deployments) expose an unauthenticated firmware-upload flow: a public page returns a signed token usable at va-api/v1/update, and every Docker image contains the appliance’s private GPG key and hard-coded passphrase. An attacker who extracts the key and obtains a token can decrypt, modify, re-sign, upload, and trigger malicious firmware, gaining remote code execution. This vulnerability has been identified by the vendor as: V-2024-020 — Remote Code Execution.

🤖 Analiza AI
Jak działa

Publiczna strona aplikacji zwraca podpisany token uprawniający do wywołania endpointu va-api/v1/update. Jednocześnie każdy obraz Docker zawiera prywatny klucz GPG appliance'u wraz z twardokodowanym hasłem (CWE-321), co umożliwia odszyfrowanie oryginalnego firmware'u. Atakujący, który pozyska klucz i token, może zmodyfikować firmware, ponownie go podpisać, przesłać na endpoint i wywołać jego instalację — uzyskując w ten sposób pełne RCE. Brak jakiegokolwiek mechanizmu uwierzytelniania przy pobieraniu tokena (CWE-306) sprawia, że atak jest dostępny dla każdego, kto ma dostęp sieciowy do appliance'u.

Skutki

Atakujący uzyskuje zdalne wykonanie kodu (RCE) na poziomie appliance'u, co może prowadzić do pełnego przejęcia kontroli nad systemem wirtualnym, jego środowiskiem kontenerowym oraz potencjalnie całą infrastrukturą druku.

Mitygacja

Należy zaktualizować Virtual Appliance Host do wersji 22.0.1026 lub nowszej oraz Virtual Appliance Application do wersji 20.0.2702 lub nowszej. Szczegółowe informacje dostępne są w biuletynach bezpieczeństwa producenta pod adresem help.printerlogic.com. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu sieciowego do endpointu va-api/v1/update na poziomie firewall.

Kogo dotyczy

Vasion Print (dawniej PrinterLogic) Virtual Appliance Host w wersjach wcześniejszych niż 22.0.1026 oraz Virtual Appliance Application w wersjach wcześniejszych niż 20.0.2702 — wyłącznie wdrożenia VA (Virtual Appliance).

Uwagi

Podatność została zidentyfikowana przez producenta pod oznaczeniem V-2024-020. Publicznie dostępny jest szczegółowy opis techniczny podatności (pierrekim.github.io, opublikowany 2025-04-08) wraz z analizą techniczną na vulncheck.com.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Vasion Virtual Appliance Application

    APP
    Vasion
    < 20.0.2702
  • Vasion Virtual Appliance Host

    APP
    Vasion
    < 22.0.1026
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCEContainer
CWE
Referencje

Powiązane podatności

CVE-2025-34210CRITICAL9.4PL ✓ten sam produkt

Vasion Print Virtual Appliance — hasła w plikach plaintext dostępnych dla wszystkich

CVE-2025-34217CRITICAL10.0PL ✓ten sam produkt

Vasion Print: hardcoded SSH key umożliwiający root access do appliance

CVE-2025-34211CRITICAL9.3PL ✓ten sam produkt

Vasion Print: hardcoded klucz prywatny SSL we wszystkich instancjach

CVE-2025-34209CRITICAL9.4PL ✓ten sam produkt

Hardcoded klucz prywatny GPG w Vasion Print Virtual Appliance

CVE-2025-34196CRITICAL9.3PL ✓ten sam produkt

Vasion Print: hardcoded klucz prywatny CA i hasło w plikach konfiguracyjnych

CVE-2025-34215 — Vasion Print Virtual Appliance — nieautoryzowane RCE przez firmware-upload — CRITICAL 9.4 | CVEbaza.pl