CVE-2020-28463 in ReportLab
Сводка
по VulDB • 13.07.2026
Все версии пакета reportlab уязвимы к Server-side Request Forgery (SSRF) через теги img. Для снижения рисков используйте trustedSchemes и trustedHosts (см. документацию Reportlab). Шаги для воспроизведения от Karan Bamal: 1. Скачайте и установите последнюю версию пакета reportlab. 2. Перейдите в demos -> odyssey -> dodyssey. 3. В текстовом файле odyssey.txt, который необходимо преобразовать в PDF, внедрите вредоносный код. 4. Создайте слушателя nc с помощью команды nc -lp 5000. 5. Запустите python3 dodyssey.py. 6. Вы получите уведомление на вашем nc-слушателе, что подтверждает успешную отправку серверного запроса (SSRF). 7. Скрипт dodyssey.py выдаст ошибку из-за отсутствия файла img по указанному URL, однако SSRF успешно выполнен.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.