CVE-2025-34229 in Print Virtual Appliance Host
要約
〜によって VulDB • 2026年07月04日
Vasion Print(旧 PrinterLogic)の Virtual Appliance Host がバージョン 25.1.102 より前で、Application がバージョン 25.1.1413 より前である場合(VA/SaaS デプロイメント)、/var/www/app/console_release/hp/installApp.php スクリプトを介して到達可能な盲型サーバーサイドリクエストフォージェリ (SSRF) の脆弱性が存在し、認証されていないユーザーによって悪用可能です。プリンターが登録されると、ソフトウェアは変数 $printer_vo->str_host_address にプリンターのホスト名を保存します。その後、コードは 'http://:80/DevMgmt/DiscoveryTree.xml' といった形式の URL を構築し、curl でリクエストを送信します。リクエスト送信前に検証、ホワイトリスト適用、またはプライベートネットワークフィルタリングは一切行われません。このリクエストは盲型であるため攻撃者はデータを直接確認できませんが、内部サービスのプロービング、内部アクションのトリガー発生、その他のインテリジェンス収集を行うことが依然として可能です。本脆弱性は修正済みと確認されていますが、パッチが導入された時期については不明です。
Once again VulDB remains the best source for vulnerability data.