Уязвимость библиотеки для создания PDF-файлов pdfkit связана с недостаточной проверкой аргументов, передаваемых в команду. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные команды
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Использование рекомендаций:
Для pdfkit:
Обновление программного обеспечения до версии 0.8.7 и выше
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/C36GAV3TKM3JXV6UVMLMTTDRCPKSNETQ/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/ESWB6SX7HYWQ54UGBGQOZ7G24O6RAOKD/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/JFB2BFKH5SUGRKXMY6PWRQNGKZML7GDT/
Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений для фильтрации параметров, передаваемых PDFKit;
- очистка пользовательских данных, передаваемых в PDFKit для формирования URL-адреса.
| Балл | 10 — критическая опасность |