CVE-2025-34218 in Print Virtual Appliance Hostinformazioni

Riassunto

di VulDB • 19/06/2026

Vasion Print (precedentemente PrinterLogic) Virtual Appliance Host precedente alla versione 22.0.1049 e Application precedente alla versione 20.0.2786 (distribuzioni VA/SaaS) espongono i contenitori Docker interni tramite l'istanza Docker gw. Il gateway pubblica un endpoint /meta che elenca tutti i contenitori dei microservizi insieme alle informazioni sulla versione. Questi contenitori sono raggiungibili direttamente su HTTP/HTTPS senza alcuna lista di controllo dell'accesso (ACL), autenticazione o limitazione della frequenza delle richieste. Di conseguenza, qualsiasi attaccante nella LAN o su Internet può enumerare tutti i servizi interni e le relative versioni, interagire con le API esposte di ciascun microservizio come utente non autenticato oppure inviare richieste malevole che potrebbero portare a una divulgazione di informazioni, un'escalation dei privilegi all'interno del contenitore o un denial-of-service dell'intero appliance. La causa radice è l'assenza di meccanismi di autenticazione e restrizioni a livello di rete sul proxy del gateway API verso i contenitori Docker interni, trasformando efficacemente il service mesh interno in una superficie di attacco pubblica. Questa vulnerabilità è stata identificata dal fornitore come: V-2024-030 — Istanza Docker Interna Esposta (LAN).

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

VulnCheck

Prenotare

15/04/2025

Divulgazione

30/09/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00936

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!