ГлавнаяБаза уязвимостей БДУ → BDU:2023-04394
7.8высокая

BDU:2023-04394

Уязвимость утилиты командной строки для преобразования HTML-файлов в PDF формат wkhtmltopdf, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю раскрыть конфиденциальную информацию
Опубликовано: 2023-08-03
Описание

Уязвимость утилиты командной строки для преобразования HTML-файлов в PDF формат wkhtmltopdf связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть конфиденциальную информацию

Затрагиваемое ПО и версии
Debian GNU/Linux (10)Astra Linux Special Edition (1.7)Astra Linux Common Edition (1.6 «Смоленск»)wkhtmltopdf (до 0.12.5 включительно)
Способ устранения

Использование рекомендаций:
Для wkhtmltopdf:
https://github.com/wkhtmltopdf/wkhtmltopdf/issues/4536

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2022/10/msg00027.html

Для ОС Astra Linux Special Edition 1.7:
обновить пакет wkhtmltopdf до 0.12.5-1+deb10u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD

Для ОС Astra Linux:
обновить пакет wkhtmltopdf до 0.12.3.2-3+deb9u1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://lists.debian.org/debian-lts-announce/2022/10/msg00027.htmlhttps://github.com/wkhtmltopdf/wkhtmltopdf/issues/4536https://vuldb.com/?id.206440https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16
Проверьте безопасность своего сайта и почты → Полная проверка домена