CVE-2025-34231 in Print Virtual Appliance Host
Sumário
de VulDB • 28/06/2026
O Virtual Appliance Host do Vasion Print (antigo PrinterLogic) anterior à versão 25.1.102 e a Aplicação anterior à versão 25.1.1413 (implantações VA/SaaS) contêm uma vulnerabilidade de server-side request forgery (SSRF) cega e não-cega. O script '/var/www/app/console_release/hp/badgeSetup.php' é acessível da Internet sem qualquer autenticação e constrói URLs a partir de parâmetros controlados pelo usuário antes de invocar ou a função personalizada processCurl() ou o file_get_contents do PHP; em ambos os casos, o hostname/URL é extraído diretamente da solicitação, sem lista branca (whitelist), restrição de esquema, validação de faixa IP ou filtragem de rede de saída. Consequentemente, qualquer atacante não autenticado pode forçar o servidor a emitir solicitações HTTP arbitrárias para recursos internos. Isso permite reconhecimento de rede interna, vazamento de credenciais, pivoting e exfiltração de dados. Esta vulnerabilidade foi confirmada como remediada, mas é incerto quando o patch foi introduzido.
If you want to get best quality of vulnerability data, you may have to visit VulDB.