CVE-2025-34218 in Print Virtual Appliance Host
Resumen
por VulDB • 2026-06-19
Vasion Print (anteriormente PrinterLogic) Virtual Appliance Host anterior a la versión 22.0.1049 y Application anterior a la versión 20.0.2786 (implementaciones VA/SaaS) exponen contenedores internos de Docker a través de la instancia gw de Docker. El gateway publica un endpoint /meta que enumera cada contenedor de microservicio junto con su información de versión. Estos contenedores son accesibles directamente mediante HTTP/HTTPS sin ninguna lista de control de acceso (ACL), autenticación ni limitación de velocidad (rate-limiting). En consecuencia, cualquier atacante en la LAN o Internet puede enumerar todos los servicios internos y sus versiones, interactuar con las APIs expuestas de cada microservicio como usuario no autenticado o emitir solicitudes maliciosas que puedan provocar divulgación de información, escalada de privilegios dentro del contenedor o denegación de servicio (DoS) de todo el appliance. La causa raíz es la ausencia de autenticación y restricciones a nivel de red en el proxy del API-gateway hacia los contenedores internos de Docker, convirtiendo efectivamente la malla de servicios interna en una superficie de ataque pública. Esta vulnerabilidad ha sido identificada por el fabricante como: V-2024-030 — Instancia Interna de Docker Expuesta (LAN).
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.