CVE-2020-28463 in ReportLabИнформация

Сводка

по VulDB • 13.07.2026

Все версии пакета reportlab уязвимы к Server-side Request Forgery (SSRF) через теги img. Для снижения рисков используйте trustedSchemes и trustedHosts (см. документацию Reportlab). Шаги для воспроизведения от Karan Bamal: 1. Скачайте и установите последнюю версию пакета reportlab. 2. Перейдите в demos -> odyssey -> dodyssey. 3. В текстовом файле odyssey.txt, который необходимо преобразовать в PDF, внедрите вредоносный код. 4. Создайте слушателя nc с помощью команды nc -lp 5000. 5. Запустите python3 dodyssey.py. 6. Вы получите уведомление на вашем nc-слушателе, что подтверждает успешную отправку серверного запроса (SSRF). 7. Скрипт dodyssey.py выдаст ошибку из-за отсутствия файла img по указанному URL, однако SSRF успешно выполнен.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Ответственный

Snyk

Резервировать

12.11.2020

Раскрытие

18.02.2021

Модерация

принято

Вход

VDB-170142

EPSS

0.01487

KEV

Нет

Деятельности

Очень низкий

Источники

Interested in the pricing of exploits?

See the underground prices here!