CVE-2025-34233 in Print Virtual Appliance Hostthông tin

Tóm tắt

Bởi VulDB • 28/06/2026

Vasion Print (trước đây là PrinterLogic) Virtual Appliance Host trước phiên bản 25.1.102 và Application trước phiên bản 25.1.1413 (triển khai VA/SaaS) chứa một lỗ hổng thất bại cơ chế bảo vệ trong hàm file_get_contents(). Khi quản trị viên cấu hình tên máy chủ của máy in (hoặc trường callback tương tự), giá trị này được truyền không kiểm tra sang các hàm PHP file_get_contents()/cURL, những hàm này theo dõi chuyển hướng và không áp dụng danh sách cho phép, hạn chế lược đồ hoặc dải IP. Do đó, kẻ tấn công ở cấp quản trị viên có thể trỏ tên máy chủ đến một máy chủ web độc hại phát ra mã chuyển hướng 301 tới các điểm cuối nội bộ như dịch vụ metadata của AWS EC2. Máy chủ theo dõi chuyển hướng, truy xuất metadata và trả về hoặc lưu trữ thông tin xác thực, cho phép kẻ tấn công đánh cắp khóa IAM đám mây, liệt kê các dịch vụ nội bộ và di chuyển xa hơn vào cơ sở hạ tầng SaaS. Lỗ hổng này đã được xác nhận là đã khắc phục, nhưng không rõ bản vá đã được đưa ra khi nào.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

chịu trách nhiệm

VulnCheck

Đặt trước

15/04/2025

Tiết lộ

30/09/2025

Kiểm duyệt

được chấp nhận

EPSS

0.00554

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to stay up to date on a daily basis?

Enable the mail alert feature now!