Vasion Print (dawniej PrinterLogic) Virtual Appliance zawiera domyślne konto administratora oraz endpoint instalacyjny dostępny bez uwierzytelnienia, który umożliwia zdalne nadpisanie poświadczeń administratora. Podatność o maksymalnym wyniku CVSS 10.0 pozwala nieuprawnionemu atakującemu przejąć pełną kontrolę administracyjną nad systemem.
▸ Pokaż oryginał (EN)
Vasion Print (formerly PrinterLogic) Virtual Appliance Host prior to version 22.0.1049 and Application prior to version 20.0.2786 (VA/SaaS deployments) contain a default admin account and an installation‑time endpoint at `/admin/query/update_database.php` that can be accessed without authentication. An attacker who can reach the installation web interface can POST arbitrary `root_user` and `root_password` values, causing the script to replace the default admin credentials with attacker‑controlled ones. The script also contains hard‑coded SHA‑512 and SHA‑1 hashes of the default password, allowing the attacker to bypass password‑policy validation. As a result, an unauthenticated remote attacker can obtain full administrative control of the system during the initial setup. This vulnerability has been identified by the vendor as: V-2024-022 — Insecure Installation Credentials.
Endpoint `/admin/query/update_database.php` jest dostępny bez jakiegokolwiek uwierzytelnienia (CWE-306) i akceptuje żądania HTTP POST z parametrami `root_user` oraz `root_password`. Atakujący może przesłać dowolne wartości tych parametrów, co powoduje zastąpienie domyślnych poświadczeń administratora wartościami kontrolowanymi przez napastnika. Skrypt zawiera ponadto zakodowane na stałe skróty SHA-512 i SHA-1 domyślnego hasła (CWE-798), co umożliwia obejście mechanizmu walidacji polityki haseł. Atak możliwy jest w fazie wstępnej konfiguracji systemu, gdy interfejs instalacyjny jest osiągalny z sieci.
Nieuprawniony zdalny atakujący uzyskuje pełną kontrolę administracyjną nad systemem Vasion Print Virtual Appliance, co obejmuje dostęp do wszystkich danych, konfiguracji oraz zarządzanych drukarek i użytkowników.
Należy jak najszybciej zaktualizować Virtual Appliance Host do wersji 22.0.1049 lub nowszej oraz Virtual Appliance Application do wersji 20.0.2786 lub nowszej. Do czasu wdrożenia patcha należy ograniczyć sieciowy dostęp do interfejsu instalacyjnego wyłącznie do zaufanych adresów IP oraz upewnić się, że endpoint instalacyjny nie jest dostępny publicznie. Szczegółowe informacje dostępne są w biuletynach bezpieczeństwa producenta pod adresem help.printerlogic.com.
Vasion Print (PrinterLogic) Virtual Appliance Host w wersjach wcześniejszych niż 22.0.1049 oraz Virtual Appliance Application w wersjach wcześniejszych niż 20.0.2786 (wdrożenia VA/SaaS).
Podatność zidentyfikowana przez producenta jako V-2024-022 — Insecure Installation Credentials. Informacje o podatności zostały opublikowane przez badacza Pierre'a Kima w ramach szerszego zestawienia 83 podatności w produktach Vasion/PrinterLogic (wpis z 2025-04-08).
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XVasion Virtual Appliance Application
APPVasion< 20.0.2786Vasion Virtual Appliance Host
APPVasion< 22.0.1049
Powiązane podatności
Vasion Print Virtual Appliance — hasła w plikach plaintext dostępnych dla wszystkich
Vasion Print: hardcoded SSH key umożliwiający root access do appliance
Vasion Print: hardcoded klucz prywatny SSL we wszystkich instancjach
Hardcoded klucz prywatny GPG w Vasion Print Virtual Appliance
Vasion Print: hardcoded klucz prywatny CA i hasło w plikach konfiguracyjnych