Podatność w Vasion Print (dawniej PrinterLogic) Virtual Appliance pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie kodu poprzez przesłanie złośliwego firmware'u. Krytyczne CVSS 9.4 wynika z połączenia publicznego endpointu aktualizacji, twardokodowanego klucza GPG i hasła zawartych w każdym obrazie Docker.
▸ Pokaż oryginał (EN)
Vasion Print (formerly PrinterLogic) Virtual Appliance Host prior to version 22.0.1026 and Application prior to version 20.0.2702 (only VA deployments) expose an unauthenticated firmware-upload flow: a public page returns a signed token usable at va-api/v1/update, and every Docker image contains the appliance’s private GPG key and hard-coded passphrase. An attacker who extracts the key and obtains a token can decrypt, modify, re-sign, upload, and trigger malicious firmware, gaining remote code execution. This vulnerability has been identified by the vendor as: V-2024-020 — Remote Code Execution.
Publiczna strona aplikacji zwraca podpisany token uprawniający do wywołania endpointu va-api/v1/update. Jednocześnie każdy obraz Docker zawiera prywatny klucz GPG appliance'u wraz z twardokodowanym hasłem (CWE-321), co umożliwia odszyfrowanie oryginalnego firmware'u. Atakujący, który pozyska klucz i token, może zmodyfikować firmware, ponownie go podpisać, przesłać na endpoint i wywołać jego instalację — uzyskując w ten sposób pełne RCE. Brak jakiegokolwiek mechanizmu uwierzytelniania przy pobieraniu tokena (CWE-306) sprawia, że atak jest dostępny dla każdego, kto ma dostęp sieciowy do appliance'u.
Atakujący uzyskuje zdalne wykonanie kodu (RCE) na poziomie appliance'u, co może prowadzić do pełnego przejęcia kontroli nad systemem wirtualnym, jego środowiskiem kontenerowym oraz potencjalnie całą infrastrukturą druku.
Należy zaktualizować Virtual Appliance Host do wersji 22.0.1026 lub nowszej oraz Virtual Appliance Application do wersji 20.0.2702 lub nowszej. Szczegółowe informacje dostępne są w biuletynach bezpieczeństwa producenta pod adresem help.printerlogic.com. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu sieciowego do endpointu va-api/v1/update na poziomie firewall.
Vasion Print (dawniej PrinterLogic) Virtual Appliance Host w wersjach wcześniejszych niż 22.0.1026 oraz Virtual Appliance Application w wersjach wcześniejszych niż 20.0.2702 — wyłącznie wdrożenia VA (Virtual Appliance).
Podatność została zidentyfikowana przez producenta pod oznaczeniem V-2024-020. Publicznie dostępny jest szczegółowy opis techniczny podatności (pierrekim.github.io, opublikowany 2025-04-08) wraz z analizą techniczną na vulncheck.com.
CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XVasion Virtual Appliance Application
APPVasion< 20.0.2702Vasion Virtual Appliance Host
APPVasion< 22.0.1026
Powiązane podatności
Vasion Print Virtual Appliance — hasła w plikach plaintext dostępnych dla wszystkich
Vasion Print: hardcoded SSH key umożliwiający root access do appliance
Vasion Print: hardcoded klucz prywatny SSL we wszystkich instancjach
Hardcoded klucz prywatny GPG w Vasion Print Virtual Appliance
Vasion Print: hardcoded klucz prywatny CA i hasło w plikach konfiguracyjnych