CVE-2023-23924 in Dompdfinformación

Resumen

por VulDB • 2026-05-25

Dompdf es un convertidor de HTML a PDF. La validación de URI en dompdf 2.0.1 puede ser eludida en el análisis de SVG mediante el paso de etiquetas `` con letras mayúsculas. Esto puede provocar una deserialización de objetos arbitraria en PHP < 8, a través del envoltorio de URL `phar`. Un atacante puede explotar la vulnerabilidad para llamar a una URL arbitraria con protocolos arbitrarios, si puede proporcionar un archivo SVG a dompdf. En versiones de PHP anteriores a 8.0.0, esto conduce a una deserialización arbitraria, que resultará, como mínimo, en la eliminación de archivos arbitrarios e incluso en la ejecución de código remoto, dependiendo de las clases disponibles.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

GitHub, Inc.

Reservar

2023-01-19

Divulgación

2023-02-01

Moderación

aceptado

Artículo

VDB-219864

CPE

listo

EPSS

0.03572

KEV

no

Actividades

muy bajo

Fuentes

Interested in the pricing of exploits?

See the underground prices here!