CVE-2025-34217 - Vasion Print硬编码SSH密钥漏洞分析

概述

CVE-2025-34217是一个影响Vasion Print（前身为PrinterLogic）虚拟设备主机和应用程序的关键安全漏洞。

漏洞描述

Vasion Print虚拟设备主机和应用程序（VA/SaaS部署）包含一个未文档化的’printerlogic’用户，该用户在’~/.ssh/authorized_keys’中具有硬编码的SSH公钥，并且sudoers规则授予printerlogic_ssh组’NOPASSWD: ALL’权限。拥有匹配私钥的攻击者可以获得设备的root访问权限。

漏洞时间线

发布日期：2025年9月30日下午2:15
最后修改：2025年9月30日下午2:15
远程利用：是
来源：disclosure@vulncheck.com

受影响产品

目前尚未记录受影响的具体产品版本。

CVSS评分

分数	版本	严重性	向量	可利用性分数	影响分数	来源
10.0	CVSS 4.0	严重	-	-	-	83251b91-4cc7-4094-a5c7-464a1b83ea10
10.0	CVSS 4.0	严重	-	-	-	disclosure@vulncheck.com

解决方案

移除未文档化的用户及其相关的SSH密钥和sudo权限：

移除’printerlogic’用户
移除硬编码的SSH公钥
移除’printerlogic_ssh’组的sudoers规则

参考资源

URL	资源
https://help.printerlogic.com/saas/Print/Security/Security-Bulletins.htm	安全公告
https://help.printerlogic.com/va/Print/Security/Security-Bulletins.htm	安全公告
https://pierrekim.github.io/blog/2025-04-08-vasion-printerlogic-83-vulnerabilities.html#va-undocumented-hardcoded-ssh-key	技术分析
https://www.vulncheck.com/advisories/vasion-print-printerlogic-incorrect-encryption-algorithms-used-to-store-passwords	漏洞检查

CWE关联

CWE-321：使用硬编码的加密密钥

漏洞历史

2025年9月30日 - 由disclosure@vulncheck.com提交新CVE

操作记录：

添加漏洞描述
添加CVSS v4.0评分
添加CWE-321分类
添加相关参考链接

2025年9月30日 - 由134c704f-9b21-4f2e-91b3-4a467353bcc0修改

操作记录：

添加额外参考链接