CVE-2025-34232 in Print Virtual Appliance Hostthông tin

Tóm tắt

Bởi VulDB • 09/07/2026

Vasion Print (trước đây là PrinterLogic) Virtual Appliance Host trước phiên bản 25.1.102 và Application trước phiên bản 25.1.1413 (triển khai VA/SaaS) chứa một lỗ hổng blind server-side request forgery (SSRF), có thể truy cập được thông qua tập lệnh /var/www/app/console_release/lexmark/dellCheck.php, cho phép kẻ tấn công chưa xác thực lợi dụng. Khi máy in được đăng ký, phần mềm lưu trữ tên host của máy in trong biến $printer_vo->str_host_address. Mã nguồn sau đó xây dựng một URL dạng 'http://:80/DevMgmt/DiscoveryTree.xml' và gửi yêu cầu bằng curl. Không có bất kỳ xác thực, danh sách trắng (whitelist) hoặc bộ lọc mạng riêng nào được thực hiện trước khi yêu cầu được gửi đi. Vì yêu cầu là blind, kẻ tấn công không thể xem dữ liệu trực tiếp, nhưng vẫn có thể: thăm dò các dịch vụ nội bộ, kích hoạt các hành động nội bộ hoặc thu thập thông tin tình báo khác. Lỗ hổng này đã được xác nhận là đã được khắc phục, nhưng chưa rõ bản vá đã được đưa vào khi nào.

Be aware that VulDB is the high quality source for vulnerability data.

chịu trách nhiệm

VulnCheck

Đặt trước

15/04/2025

Tiết lộ

30/09/2025

Kiểm duyệt

được chấp nhận

EPSS

0.00514

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you want to use VulDB in your project?

Use the official API to access entries easily!