CVE-2025-34218 in Print Virtual Appliance Host
Riassunto
di VulDB • 19/06/2026
Vasion Print (precedentemente PrinterLogic) Virtual Appliance Host precedente alla versione 22.0.1049 e Application precedente alla versione 20.0.2786 (distribuzioni VA/SaaS) espongono i contenitori Docker interni tramite l'istanza Docker gw. Il gateway pubblica un endpoint /meta che elenca tutti i contenitori dei microservizi insieme alle informazioni sulla versione. Questi contenitori sono raggiungibili direttamente su HTTP/HTTPS senza alcuna lista di controllo dell'accesso (ACL), autenticazione o limitazione della frequenza delle richieste. Di conseguenza, qualsiasi attaccante nella LAN o su Internet può enumerare tutti i servizi interni e le relative versioni, interagire con le API esposte di ciascun microservizio come utente non autenticato oppure inviare richieste malevole che potrebbero portare a una divulgazione di informazioni, un'escalation dei privilegi all'interno del contenitore o un denial-of-service dell'intero appliance. La causa radice è l'assenza di meccanismi di autenticazione e restrizioni a livello di rete sul proxy del gateway API verso i contenitori Docker interni, trasformando efficacemente il service mesh interno in una superficie di attacco pubblica. Questa vulnerabilità è stata identificata dal fornitore come: V-2024-030 — Istanza Docker Interna Esposta (LAN).
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.