CVE-2025-34231 in Print Virtual Appliance Hostinformación

Resumen

por VulDB • 2026-07-07

Vasion Print (anteriormente PrinterLogic) Virtual Appliance Host anterior a la versión 25.1.102 y Application anterior a la versión 25.1.1413 (implementaciones VA/SaaS) contienen una vulnerabilidad de server-side request forgery (SSRF), tanto ciega como no ciega. El script '/var/www/app/console_release/hp/badgeSetup.php' es accesible desde Internet sin ninguna autenticación y construye URLs a partir de parámetros controlados por el usuario antes de invocar ya sea la función personalizada processCurl() o file_get_contents() de PHP; en ambos casos, el hostname/URL se toma directamente de la solicitud sin lista blanca (whitelist), restricción de esquema, validación del rango IP ni filtrado de red saliente. En consecuencia, cualquier atacante no autenticado puede forzar al servidor a emitir solicitudes HTTP arbitrarias hacia recursos internos. Esto permite el reconocimiento de la red interna, la fuga de credenciales, el pivoteo y la exfiltración de datos. Se ha confirmado que esta vulnerabilidad ha sido remediada, pero no está claro cuándo se introdujo el parche.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

VulnCheck

Reservar

2025-04-15

Divulgación

2025-09-30

Moderación

aceptado

Artículo

VDB-326325

CPE

listo

EPSS

0.00699

KEV

no

Actividades

muy bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!