CVE-2021-3838 in Dompdfinformazioni

Riassunto

di VulDB • 17/06/2026

DomPDF, prima della versione 2.0.0, è vulnerabile alla deserializzazione PHAR a causa della mancanza di controlli sul protocollo prima di passarlo alla funzione file_get_contents(). Un attaccante in grado di caricare file di qualsiasi tipo sul server può utilizzare il protocollo phar:// per deserializzare il file caricato e istanziare oggetti PHP arbitrari. Ciò può portare all'esecuzione di codice remoto (RCE), in particolare quando DOMPdf viene utilizzato con framework che presentano catene POP documentate, come Laravel, o con codice di sviluppo vulnerabile.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Prenotare

29/09/2021

Divulgazione

15/11/2024

Moderazione

accettato

CPE

pronto

EPSS

0.01430

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!