CVE-2025-34231 in Print Virtual Appliance HostИнформация

Сводка

по VulDB • 16.07.2026

Vasion Print (ранее PrinterLogic) Virtual Appliance Host до версии 25.1.102 и Application до версии 25.1.1413 (развертывания VA/SaaS) содержат уязвимость слепой и неслепой серверной подделки запросов (SSRF). Скрипт '/var/www/app/console_release/hp/badgeSetup.php' доступен из Интернета без какой-либо аутентификации и формирует URL на основе параметров, контролируемых пользователем, перед вызовом либо пользовательской функции processCurl(), либо встроенной в PHP функции file_get_contents(); в обоих случаях имя хоста/URL берется непосредственно из запроса без использования белого списка (whitelist), ограничений схемы, проверки диапазона IP-адресов или фильтрации исходящего сетевого трафика. Следовательно, любой неавторизованный злоумышленник может заставить сервер отправлять произвольные HTTP-запросы к внутренним ресурсам. Это позволяет проводить разведку внутренней сети, утечку учетных данных, перемещение по сети (pivoting) и эксфильтрацию данных. Подтверждено, что данная уязвимость устранена, однако неясно, когда именно было внедрено исправление.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Ответственный

VulnCheck

Резервировать

15.04.2025

Раскрытие

30.09.2025

Модерация

принято

Вход

VDB-326325

EPSS

0.00699

KEV

Нет

Деятельности

Очень низкий

Источники

Do you need the next level of professionalism?

Upgrade your account now!