安全漏洞披露时间线

一位安全研究人员声称，早在2021年底就已向软件开发商报告了打印机自动化软件Vasion Print（前身为PrinterLogic）中的83个安全漏洞。据其表述，自此双方保持了持续联系，但截至目前所有安全问题是否已完全解决仍难以判断。

官方机构介入

目前，德国联邦信息安全办公室（BSI）和美国国家标准与技术研究院（NIST）已开始列出部分漏洞信息。针对heise security向软件开发商的现状问询，目前尚未获得答复。

技术细节分析

根据研究人员今年四月发布的报告，其首次联系软件开发商的时间可追溯至2021年11月。报告详细记录了漏洞的时间进展和具体技术信息：

• 受影响的系统包括Linux、macOS和Windows客户端
• 部分漏洞尚未分配CVE编号
• 部分漏洞的危险等级评定仍在进行中

具体漏洞案例

CVE-2025-34192（危险等级：严重）

• 攻击者可通过Linux或macOS系统利用此漏洞
• 可利用Vasion Print Virtual Appliance Host中自2019年起已停止支持的加密组件来削弱TLS连接
• 版本20.0.2140和22.0.893及以上应已修复

CVE-2025-34193（危险等级：高）

• 攻击者成功利用后可获取系统权限
• 目前尚不确定是否存在安全更新

漏洞修复状态存疑

从Vasion官网SaaS版本和Virtual Appliance Host的安全区域信息中，无法明确确认研究人员报告的所有漏洞是否已全部修复。

研究人员指出，在沟通过程中，软件供应商未将某些漏洞识别为威胁，相应的解决方案被作为改进建议而非安全补丁转交给开发部门。

管理员建议

鉴于所有漏洞的修补状态仍不明确，管理员应确保安装最新版本。若Vasion发布官方声明，本报道将及时更新。

后续更新（2025年9月26日）

开发商已向heise security提交声明，其表述暗示在2025年4月的最新安全更新后，仍有三个漏洞未修复。引用声明（经DeepL翻译并由编辑部修订）： “[…]截至2025年1月，我们已修复大多数安全漏洞。在我们2025年4月的最后一次发布后，仍存在三个剩余安全漏洞，但据开发商称，这些漏洞目前也应已修复。”