CVE-2023-24813

CRÍTIC: (10)

CVSS3: 8,7

Dompdf podria permetre a un atacant remot carregar arxius arbitraris. Això vindria causat per la deserialització insegura de dades per l’analitzador d’atributs de Dompdf i php-svg-lib. Enviant una petició HTTP especialment dissenyada, l’atacant podria explotar aquesta vulnerabilitat per carregar un arxiu SVG maliciós que podria permetre a l’atacant cridar a URL’s arbitràries i executar codi arbitrari al sistema vulnerable.

Sistemes Afectats

–

Remediació
Consulteu el repositori GIT de Dompdf per obtenir informació sobre actualitzacions o solucions suggerides. En el cas que necessiteu més informació, podeu accedir a l’apartat de les referències.

Referències

• https://github.com/dompdf/dompdf/security/advisories/GHSA-56gj-mvh6-rp75
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-24813