CVE-2023-23924 in Dompdfinformation

Résumé

par VulDB • 27/06/2026

Dompdf est un convertisseur HTML vers PDF. La validation des URI dans dompdf 2.0.1 peut être contournée lors de l'analyse SVG en transmettant des balises `` contenant des lettres majuscules. Cela peut entraîner une désérialisation d'objets arbitraire sur PHP < 8, via le wrapper URL `phar`. Un attaquant peut exploiter la vulnérabilité pour appeler n'importe quelle URL avec des protocoles arbitraires s'il parvient à fournir un fichier SVG à dompdf. Dans les versions de PHP antérieures à 8.0.0, cela conduit à une désérialisation arbitraire, qui entraînera au minimum la suppression d'un fichier arbitraire et potentiellement l'exécution de code à distance (RCE), selon les classes disponibles.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

GitHub, Inc.

Réserver

19/01/2023

Divulgation

01/02/2023

Modérer

accepté

Entrée

VDB-219864

CPE

prêt

EPSS

0.03572

KEV

non

Activités

très faible

Sources

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!