ГлавнаяБаза уязвимостей БДУ → BDU:2023-00530
10критическая

BDU:2023-00530 (CVE-2023-23924)

Уязвимость PHP-библиотеки генерации PDF-документов из HTML-разметки и CSS-стилей Dompdf, связанная с неверным порядком проверки авторизация перед синтаксическим анализом и канонизацией, позволяющая нарушителю удалить произвольные файлы или выполнить произвольный код
Опубликовано: 2023-02-03
Описание

Уязвимость PHP-библиотеки генерации PDF-документов из HTML-разметки и CSS-стилей Dompdf связана с неверным порядком проверки авторизация перед синтаксическим анализом и канонизацией при обработке тегов <image> с заглавными буквами. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, удалить произвольные файлы или выполнить произвольный код

Затрагиваемое ПО и версии
Dompdf (2.0.1)PHP (до 8.0.0)
Способ устранения

Использование рекомендаций:
https://github.com/dompdf/dompdf/releases/tag/v2.0.2
https://github.com/dompdf/dompdf/commit/7558f07f693b2ac3266089f21051e6b78c6a0c85

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://github.com/dompdf/dompdf/commit/7558f07f693b2ac3266089f21051e6b78c6a0c85https://github.com/dompdf/dompdf/releases/tag/v2.0.2https://github.com/dompdf/dompdf/security/advisories/GHSA-3cw5-7cxw-v5qghttps://nvd.nist.gov/vuln/detail/CVE-2023-23924
Проверьте безопасность своего сайта и почты → Полная проверка домена