CVE-2021-3902

CRÍTIC (9,8)

CVSS3: 0,0

Una restricció inadequada de la vulnerabilitat d’entitats externes (XXE) a l’analitzador SVG de dompdf/dompdf permet la falsificació de sol·licituds del costat del servidor (SSRF) i els atacs de desserialització. Aquest problema afecta totes les versions anteriors a la 2.0.0. La vulnerabilitat es pot explotar fins i tot si l’opció isRemoteEnabled està configurada en false. Permet que els atacants facin SSRF, revelin fitxers d’imatge interns i provoquin atacs de desserialització de PHAR.

Sistemes Afectats

• dompdf dompdf/dompdf – unspecified

Remediació
No hi ha cap recurs disponible a partir del 15 de novembre del 2024.

Referències

• https://huntr.com/bounties/a6071c07-806f-429a-8656-a4742e4191b1
• https://github.com/dompdf/dompdf/commit/f56bc8e40be6c0ae0825e6c7396f4db80620b799