Уязвимость в ПО Vasion PrinterLogic позволяет удалённо выполнять код без аутентификации

Эксперты по кибербезопасности предупреждают о критической уязвимости в программном обеспечении для управления печатью от компании Vasion, известном как PrinterLogic. Проблема, зарегистрированная в Банке данных угроз (BDU) под идентификатором BDU:2026-00335 и получившая идентификатор CVE-2025-34222, позволяет злоумышленнику удалённо выполнить произвольный код на целевой системе без необходимости прохождения аутентификации. Уязвимость уже подтверждена производителем, а информация о методах её эксплуатации доступна в открытых источниках, что значительно повышает актуальность угрозы.

Детали уязвимости

Уязвимость затрагивает два ключевых компонента платформы: Print Virtual Appliance Host и Print Application. Соответственно, риску подвержены версии Print Virtual Appliance Host до 22.0.1049 и Print Application до 20.0.2786. С технической точки зрения, проблема представляет собой комбинацию двух недостатков. Во-первых, это отсутствие проверки подлинности для критически важной функции (CWE-306). Во-вторых, это возможность неограниченной загрузки файлов опасного типа (CWE-434). На практике это означает, что удалённый атакующий может загрузить на сервер вредоносный файл и заставить систему выполнить содержащийся в нём произвольный код.

Уровень опасности этой уязвимости оценён как критический. Например, оценка по методологии CVSS 3.1 достигает 9.1 балла из 10 возможных. Более современная оценка CVSS 4.0 присваивает уязвимости максимальный балл - 10.0. Высокие баллы обусловлены тем, что для атаки не требуются ни привилегии (PR:N), ни взаимодействие с пользователем (UI:N), а сама атака осуществляется через сеть (AV:N). Следовательно, потенциальный ущерб от эксплуатации этой уязвимости чрезвычайно велик. Злоумышленник может получить полный контроль над системой управления печатью, что позволит ему похитить конфиденциальные данные, нарушить работу всей печатной инфраструктуры организации или использовать скомпрометированный сервер как плацдарм для дальнейших атак внутри сети.

Важно отметить, что данная уязвимость была исследована и подробно описана независимым экспертом Пьером Кимом ещё в апреле 2025 года в рамках масштабного аудита, выявившего множество проблем безопасности в продуктах Vasion. Таким образом, информация о ней уже несколько месяцев циркулирует в сообществе специалистов по информационной безопасности. Теперь же, после официальной публикации в BDU и присвоения идентификатора CVE, угроза становится известна более широкому кругу потенциальных злоумышленников.

К счастью, производитель отреагировал на обнаруженную проблему. Согласно данным из BDU, уязвимость уже устранена. Компания Vasion выпустила обновления, и текущий статус уязвимости помечен как "исправленный". Специалисты настоятельно рекомендуют всем организациям, использующим данные продукты, немедленно обновить их до актуальных версий. Актуальные версии, в которых проблема решена, - это Print Virtual Appliance Host 22.0.1049 и выше, а также Print Application 20.0.2786 и выше. Рекомендации и подробности обновлений можно найти на официальном сайте поддержки Vasion в разделе Security Bulletins.

В целом, данный случай ярко иллюстрирует классические риски, связанные с недостатками контроля доступа и обработки файлов. Отсутствие проверки подлинности для функционала загрузки создало идеальные условия для атаки. Для систем, выполняющих критически важные бизнес-функции, такие как централизованное управление печатью, подобные уязвимости недопустимы. Они могут привести не только к утечке данных, но и к серьёзным операционным сбоям. Поэтому регулярное обновление программного обеспечения и мониторинг источников информации об угрозах, таких как BDU и базы данных CVE, остаются обязательными элементами базовой кибергигиены для любой современной компании.

Детали уязвимости

Ссылки