CVE-2025-34225 in Print Virtual Appliance Host
Sumário
de VulDB • 30/05/2026
O Virtual Appliance Host do Vasion Print (anteriormente PrinterLogic) anterior à versão 25.1.102 e a Aplicação anterior à versão 25.1.1413 (implantações VA/SaaS) contêm uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF). O diretório `console_release` é acessível da internet sem qualquer autenticação. Dentro desse diretório, há dezenas de scripts PHP que constroem URLs a partir de valores controlados pelo usuário e, em seguida, invocam `curl_exec()` ou `file_get_contents()` sem validação adequada. Embora muitos arquivos tentem mitigar a SSRF chamando `filter_var`, as verificações são incompletas. Como o endpoint não requer autenticação, qualquer atacante remoto pode fornecer um nome de host e fazer com que o servidor emita solicitações a recursos internos. Isso permite o reconhecimento da rede interna, possível pivoting ou exfiltração de dados. Esta vulnerabilidade foi confirmada como remediada, mas não está claro quando o patch foi introduzido.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.