Исследователи выявили неисправленную уязвимость в «dompdf», PHP-конвертере HTML в PDF, которая, в случае успешной эксплуатации, может привести к удаленному выполнению кода в определенных конфигурациях.
«Внедрив CSS в обрабатываемые dompdf данные можно обманом заставить его сохранить в кэше шрифтов вредоносный шрифт с расширением .php, который впоследствии может быть выполнен при обращении к нему из Интернета» - заявили исследователи Positive Security Максимилиан Кирхмайер и Фабиан Браунляйн в опубликованном сегодня отчете.
Другими словами, дефект позволяет злоумышленникам загружать файлы шрифтов с расширением .php на веб-сервер, которые затем могут быть активированы с помощью XSS-уязвимости для инъекции HTML в веб-страницу до ее отображения в формате PDF.
Это означает, что злоумышленник может потенциально перейти к загруженному .php-скрипту, фактически разрешая удаленное выполнение кода на сервере.
Уязвимость может иметь серьезные последствия для веб-сайтов, требующих серверной генерации PDF-файлов на основе кастомных данных - например, при покупке билетов или других квитанций - особенно если входные данные не были должным образом санированы для устранения XSS-уязвимостей или если библиотека установлена в общедоступном каталоге.
Согласно статистике на GitHub, dompdf используется почти в 59 250 репозиториях, что делает ее крайне популярной библиотекой для создания PDF на PHP.
Уязвимыми считаются версии Dompdf 1.2.0 и выше, расположенные в доступной через сеть директории и имеющие включенный параметр «$isRemoteEnabled». Однако версии библиотеки 0.8.5 и более ранние подвержены воздействию даже в том случае, если этот параметр установлен в false.
Хотя сообщение об уязвимости поступило в службу поддержки проекта с открытым исходным кодом 5 октября 2021 года, разработчики пока не сообщили сроки, когда ожидается выпустить исправления.
«Уязвимости в системе безопасности часто возникают из-за проектных решений, принятых на основе неверных предположений о базовых или взаимосвязанных компонентах» - заявили исследователи. «Обновите dompdf до последней версии и отключите $isRemoteEnabled, если это возможно для вашего случая использования».
Источник: https://thehackernews.com
