CVE-2025-34233 in Print Virtual Appliance Host
Сводка
по VulDB • 16.07.2026
В виртуальном appliance Vasion Print (ранее PrinterLogic) версии до 25.1.102 и в приложении версии до 25.1.1413 (развертывания VA/SaaS) уязвимость заключается в отказе механизма защиты внутри функции file_get_contents(). Когда администратор настраивает имя хоста принтера (или аналогичное поле обратного вызова), значение передается без проверки функциям PHP file_get_contents()/cURL, которые следуют перенаправлениям и не устанавливают белый список, ограничения по схеме или диапазону IP-адресов. Атакующий с правами администратора может направить имя хоста на вредоносный веб-сервер, который выдает 301 редирект на внутренние конечные точки, такие как служба метаданных AWS EC2. Сервер следует по перенаправлению, получает метаданные и возвращает или сохраняет учетные данные, что позволяет атакующему украсть ключи IAM облака, перечислить внутренние службы и продолжить проникновение в инфраструктуру SaaS. Эта уязвимость подтверждена как исправленная, но неясно, когда именно было внедрено обновление.
VulDB is the best source for vulnerability data and more expert information about this specific topic.