CRITICAL🇬🇧 English

CVE-2025-34216

RCE i wyciek haseł przez nieuwierzytelnione REST API w Vasion Print Virtual Appliance

CVSS 10.0v4.0pub. 2025-09-29upd. 2025-10-09

Vasion Print (dawniej PrinterLogic) Virtual Appliance udostępnia nieuwierzytelnione endpointy REST API, które zwracają pliki konfiguracyjne z hasłami w postaci jawnego tekstu oraz klucz kryptograficzny APP_KEY aplikacji Laravel. Uzyskanie tego klucza pozwala atakującemu na zdalne wykonanie kodu (RCE) na urządzeniu bez jakiejkolwiek autoryzacji, co czyni tę podatność krytyczną.

Pokaż oryginał (EN)

Vasion Print (formerly PrinterLogic) Virtual Appliance Host prior to version 22.0.1026 and Application prior to version 20.0.2702 (VA deployments only) expose a set of unauthenticated REST API endpoints that return configuration files and clear‑text passwords. The same endpoints also disclose the Laravel APP_KEY used for cryptographic signing. Because the APP_KEY is required to generate valid signed requests, an attacker who obtains it can craft malicious payloads that are accepted by the application and achieve remote code execution on the appliance. This vulnerability has been identified by the vendor as: V-2024-018 — RCE & Leaks via API.

🤖 Analiza AI
Jak działa

Nieuwierzytelnione endpointy REST API eksponują pliki konfiguracyjne zawierające hasła w postaci clear-text (CWE-312) bez wymogu jakiegokolwiek uwierzytelnienia (CWE-306). Wśród ujawnianych danych znajduje się klucz Laravel APP_KEY, który jest używany do kryptograficznego podpisywania żądań w aplikacji. Atakujący, który pobierze ten klucz, może tworzyć złośliwe, poprawnie podpisane payloady, które aplikacja uzna za legalne i wykona, prowadząc do remote code execution na urządzeniu Virtual Appliance.

Skutki

Atakujący bez żadnego uwierzytelnienia może uzyskać pełną kontrolę nad urządzeniem Virtual Appliance poprzez RCE, a także pozyskać wszystkie hasła oraz dane konfiguracyjne przechowywane w systemie. Skompromitowanie systemu zarządzania drukowaniem może prowadzić do przejęcia kontroli nad infrastrukturą drukowania całej organizacji oraz lateral movement w sieci wewnętrznej.

Mitygacja

Należy niezwłocznie zaktualizować Virtual Appliance Host do wersji 22.0.1026 lub nowszej oraz Virtual Appliance Application do wersji 20.0.2702 lub nowszej. Do czasu aktualizacji należy rozważyć ograniczenie dostępu sieciowego do endpointów REST API urządzenia wyłącznie do zaufanych hostów za pomocą reguł firewall. Szczegóły dostępne w biuletynach bezpieczeństwa producenta pod adresem help.printerlogic.com.

Kogo dotyczy

Vasion Print (dawniej PrinterLogic) Virtual Appliance Host w wersji wcześniejszej niż 22.0.1026 oraz Virtual Appliance Application w wersji wcześniejszej niż 20.0.2702 — wyłącznie wdrożenia typu VA (Virtual Appliance).

Uwagi

Podatność została zidentyfikowana przez producenta jako V-2024-018 i opisana jako 'RCE & Leaks via API'. Dotyczy wyłącznie wdrożeń VA (Virtual Appliance) — instalacje SaaS nie są podatne.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:L/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Vasion Virtual Appliance Application

    APP
    Vasion
    < 20.0.2702
  • Vasion Virtual Appliance Host

    APP
    Vasion
    < 22.0.1026
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2025-34210CRITICAL9.4PL ✓ten sam produkt

Vasion Print Virtual Appliance — hasła w plikach plaintext dostępnych dla wszystkich

CVE-2025-34217CRITICAL10.0PL ✓ten sam produkt

Vasion Print: hardcoded SSH key umożliwiający root access do appliance

CVE-2025-34211CRITICAL9.3PL ✓ten sam produkt

Vasion Print: hardcoded klucz prywatny SSL we wszystkich instancjach

CVE-2025-34209CRITICAL9.4PL ✓ten sam produkt

Hardcoded klucz prywatny GPG w Vasion Print Virtual Appliance

CVE-2025-34196CRITICAL9.3PL ✓ten sam produkt

Vasion Print: hardcoded klucz prywatny CA i hasło w plikach konfiguracyjnych