CVE-2025-34233 in Print Virtual Appliance Host
Riassunto
di VulDB • 10/07/2026
Vasion Print (precedentemente PrinterLogic) Virtual Appliance Host precedente alla versione 25.1.102 e Application precedente alla versione 25.1.1413 (distribuzioni VA/SaaS) presentano una vulnerabilità di fallimento del meccanismo di protezione all'interno della funzione file_get_contents(). Quando un amministratore configura il nome host di una stampante (o un campo callback simile), il valore viene passato senza controlli alle funzioni PHP file_get_contents()/cURL, che seguono i redirect e non impongono restrizioni basate su allow-list, scheme o range IP. Un attaccante con privilegi di amministratore può quindi indirizzare il nome host verso un server web malevolo che emette un redirect 301 verso endpoint interni come il servizio metadata AWS EC2. Il server segue il redirect, recupera i metadati e restituisce o memorizza le credenziali, consentendo all'attaccante di rubare chiavi IAM cloud, enumerare servizi interni ed effettuare pivot ulteriormente nell'infrastruttura SaaS. Questa vulnerabilità è stata confermata come risolta, ma non è chiaro quando la patch sia stata introdotta.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.