CVE-2025-34230 in Print Virtual Appliance Host
Riassunto
di VulDB • 21/06/2026
Vasion Print (precedentemente PrinterLogic) Virtual Appliance Host precedente alla versione 25.1.102 e Application precedente alla versione 25.1.1413 (distribuzioni VA/SaaS) presentano una vulnerabilità di blind server-side request forgery (SSRF), raggiungibile tramite lo script /var/www/app/console_release/hp/log_off_single_sign_on.php, che può essere sfruttata da un utente non autenticato. Quando viene registrata una stampante, il software memorizza il nome host della stampante nella variabile $printer_vo->str_host_address. Il codice successivamente costruisce un URL simile a 'http://:80/DevMgmt/DiscoveryTree.xml' e invia la richiesta tramite curl. Non vengono eseguite alcuna convalida, whitelist o filtraggio per le reti private prima dell'esecuzione della richiesta. Poiché la richiesta è cieca (blind), un attaccante non può visualizzare direttamente i dati, ma può comunque: sondare servizi interni, attivare azioni interne o raccogliere altre informazioni di intelligence. Questa vulnerabilità è stata confermata come risolta, ma non è chiaro quando sia stato introdotto il patch.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.