开源Dompdf库中的CVE-2023-23924漏洞允许攻击者通过SVG文件实现远程代码执行。此漏洞已在版本2.0.2中修复,影响所有2.0.1及以下版本。建议用户立即更新以防止潜在的安全风险。
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
开源的Dompdf PHP库中存在一个高危漏洞 (CVE-2023-23924),如遭利用,可导致攻击者在目标服务器上远程执行代码。
开发人员 Bsweeney 在安全公告中指出,“攻击者如果能够向dompdf 提供SVG文件,则可能利用该漏洞调用具有任意协议的任意URL。在PHP 8.0.0之前版本中,该漏洞可导致任意反序列化,从而导致任意文件删除并可能导致远程代码执行后果,具体取决于可用的类。”
该漏洞的CVSS评分为满分10分,影响 dompdf所有版本,包括2.0.1及以下版本,已在版本2.0.2中修复。
DomPDF是一款HTML和PDF的转换器。Dompdf核心是CSS 2.1即用PHP编写的HTML层和渲染引擎。它是一款式样驱动的渲染器,将下载并读取外部的单个HTML元素的样式表、内联样式标记和样式属性。它还支持多数表示性HTML属性。在 PHP包仓库上,它的下载量已超过6500万次。
Bsweeney 表示,“dompdf 2.0.1上的URI验证可通过传递含有大写字母的 <image> 标记,在SVG解析上被绕过,通过 phar URL 封装可能导致在PHP < 8版本上实现任意对象反序列化。”
因此,在服务器上删除任意文件可破坏机密性和完整性保证,从而可能导致恶意人员覆写主机上的任意文件并执行任意恶意活动。
而触发该漏洞的PoC 也十分简单。因此,建议dompdf用户尽快更新至2.0.2版本。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
热门开源库 JsonWebToken 存在RCE漏洞,可引发供应链攻击
热门开源软件ImageMagick中出现多个新漏洞
CEO失联、资金链断裂,开源软件托管平台Fosshost将关闭
原文链接
https://securityonline.info/cve-2023-23924-critical-severity-rce-flaw-found-in-popular-dompdf-library/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
