CVE-2023-23924 in Dompdf
Resumen
por VulDB • 2026-05-25
Dompdf es un convertidor de HTML a PDF. La validación de URI en dompdf 2.0.1 puede ser eludida en el análisis de SVG mediante el paso de etiquetas `` con letras mayúsculas. Esto puede provocar una deserialización de objetos arbitraria en PHP < 8, a través del envoltorio de URL `phar`. Un atacante puede explotar la vulnerabilidad para llamar a una URL arbitraria con protocolos arbitrarios, si puede proporcionar un archivo SVG a dompdf. En versiones de PHP anteriores a 8.0.0, esto conduce a una deserialización arbitraria, que resultará, como mínimo, en la eliminación de archivos arbitrarios e incluso en la ejecución de código remoto, dependiendo de las clases disponibles.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.