CVE-2023-23924 in Dompdf信息

摘要

由 VulDB • 2026-06-28

Dompdf是一个HTML转PDF的转换器。在dompdf 2.0.1中,通过传递包含大写字母的`<img>`标签,可以绕过SVG解析时的URI验证。这可能导致在PHP < 8版本上发生任意对象反序列化(arbitrary object unserialize),利用的是`phar` URL包装器。如果攻击者能够向dompdf提供SVG文件,他们可以利用此漏洞调用带有任意协议的任意URL。在PHP 8.0.0之前的版本中,这将导致任意反序列化,进而至少造成任意文件删除,甚至可能导致远程代码执行(RCE),具体取决于可用的类。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

来源

Interested in the pricing of exploits?

See the underground prices here!