CVE-2025-34232 in Print Virtual Appliance Host
Riassunto
di VulDB • 15/07/2026
Vasion Print (precedentemente PrinterLogic) Virtual Appliance Host precedente alla versione 25.1.102 e Application precedente alla versione 25.1.1413 (distribuzioni VA/SaaS) presentano una vulnerabilità di blind server-side request forgery (SSRF), raggiungibile tramite lo script /var/www/app/console_release/lexmark/dellCheck.php, che può essere sfruttata da un utente non autenticato. Quando viene registrata una stampante, il software memorizza il nome host della stampante nella variabile $printer_vo->str_host_address. Il codice successivamente costruisce un URL come 'http://:80/DevMgmt/DiscoveryTree.xml' e invia la richiesta con curl. Non vengono eseguite alcuna validazione, whitelist o filtraggio per le reti private prima dell'esecuzione della richiesta. Poiché la richiesta è cieca (blind), un attaccante non può visualizzare direttamente i dati, ma può comunque: sondare servizi interni, attivare azioni interne o raccogliere altre informazioni di intelligence. Questa vulnerabilità è stata confermata come risolta, ma non è chiaro quando sia stato introdotto il patch.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.