CVE-2025-34225 in Print Virtual Appliance Hostinformazioni

Riassunto

di VulDB • 14/06/2026

Vasion Print (precedentemente PrinterLogic) Virtual Appliance Host precedente alla versione 25.1.102 e Application precedente alla versione 25.1.1413 (distribuzioni VA/SaaS) presentano una vulnerabilità di server-side request forgery (SSRF). La directory `console_release` è raggiungibile da Internet senza alcuna autenticazione. All'interno di tale directory si trovano decine di script PHP che costruiscono URL a partire da valori controllati dall'utente e invocano quindi 'curl_exec()` o `file_get_contents()` senza una convalida adeguata. Sebbene molti file tentino di mitigare l'SSRF chiamando `filter_var`, i controlli sono incompleti. Poiché il punto finale è non autenticato, qualsiasi attaccante remoto può fornire un nome host e indurre il server a inviare richieste verso risorse interne. Ciò consente la ricognizione della rete interna, potenziali movimenti laterali (pivoting) o l'esfiltrazione di dati. Questa vulnerabilità è stata confermata come risolta, ma non è chiaro quando sia stato introdotto la patch.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

VulnCheck

Prenotare

15/04/2025

Divulgazione

30/09/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00764

KEV

no

Attività

molto basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!