CVE-2025-34231 in Print Virtual Appliance Hostinformation

Résumé

par VulDB • 08/07/2026

Vasion Print (anciennement PrinterLogic) Virtual Appliance Host antérieur à la version 25.1.102 et Application antérieure à la version 25.1.1413 (déploiements VA/SaaS) présentent une vulnérabilité de falsification de requêtes côté serveur (SSRF), aveugle et non aveugle. Le script '/var/www/app/console_release/hp/badgeSetup.php' est accessible depuis Internet sans aucune authentification et construit des URL à partir de paramètres contrôlés par l'utilisateur avant d'invoquer soit la fonction personnalisée processCurl(), soit file_get_contents() de PHP ; dans les deux cas, le nom d'hôte/l'URL provient directement de la requête sans liste blanche, restriction de schéma, validation de plage IP ou filtrage du réseau sortant. Par conséquent, tout attaquant non authentifié peut forcer le serveur à émettre des requêtes HTTP arbitraires vers des ressources internes. Cela permet une reconnaissance du réseau interne, une fuite d'identifiants, un pivotement et l'exfiltration de données. Cette vulnérabilité a été confirmée comme étant corrigée, mais il n'est pas clair quand le correctif a été introduit.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

VulnCheck

Réserver

15/04/2025

Divulgation

30/09/2025

Modérer

accepté

Entrée

VDB-326325

CPE

prêt

EPSS

0.00699

KEV

non

Activités

très faible

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!