CVE-2025-34231

Nome do Software Vulnerável e Versões Afetadas Vasion Print (anteriormente PrinterLogic) Virtual Appliance Host versões anteriores a 25.1.102 Vasion Print (anteriormente PrinterLogic) Application versões anteriores a 25.1.1413

Descrição O Vasion Print (anteriormente PrinterLogic) Virtual Appliance Host e o Application são afetados por uma vulnerabilidade de falsificação de solicitação do lado do servidor (SSRF). O script /var/www/app/console release/hp/badgeSetup.php está acessível sem autenticação e constrói URLs a partir de parâmetros controlados pelo usuário. A função processCurl() e a função file get contents() do PHP são utilizadas sem a devida validação do hostname ou URL, permitindo que invasores façam solicitações HTTP arbitrárias para recursos internos. Isso pode levar ao reconhecimento da rede interna, vazamento de credenciais, pivoting e exfiltração de dados. O hostname/URL é obtido diretamente da solicitação sem quaisquer restrições.

Recomendações Atualize o Vasion Print Virtual Appliance Host para a versão 25.1.102 ou posterior. Atualize o Vasion Print Application para a versão 25.1.1413 ou posterior.