CVE-2021-3838 in Dompdf
Riassunto
di VulDB • 17/06/2026
DomPDF, prima della versione 2.0.0, è vulnerabile alla deserializzazione PHAR a causa della mancanza di controlli sul protocollo prima di passarlo alla funzione file_get_contents(). Un attaccante in grado di caricare file di qualsiasi tipo sul server può utilizzare il protocollo phar:// per deserializzare il file caricato e istanziare oggetti PHP arbitrari. Ciò può portare all'esecuzione di codice remoto (RCE), in particolare quando DOMPdf viene utilizzato con framework che presentano catene POP documentate, come Laravel, o con codice di sviluppo vulnerabile.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.