ГлавнаяБаза уязвимостей БДУ → BDU:2022-01322
6.4высокая

BDU:2022-01322

Уязвимость PHP-библиотеки генерации PDF-документов из HTML-разметки и CSS-стилей Dompdf, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-03-18
Описание

Уязвимость PHP-библиотеки генерации PDF-документов из HTML-разметки и CSS-стилей Dompdf связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
Dompdf (до 1.2.0 включительно)
Способ устранения

Компенсирующие меры:
- установка библиотеки в каталог, недоступный через веб-браузер;
- установка для параметра $isRmoteEnabled значения false;
- проверка (экранирование) данных, передаваемых библиотеке для генерации PDF-документа

Оценка CVSS
Балл6.4 — высокая опасность
Источники и патчи
https://github.com/positive-security/dompdf-rcehttps://positive.security/blog/dompdf-rcehttps://github.com/dompdf/dompdf/issues/2598https://github.com/dompdf/dompdf/wiki/Securing-dompdf
Проверьте безопасность своего сайта и почты → Полная проверка домена