Niet-gepatchte RCE-bug in dompdf-project beïnvloedt HTML naar PDF-converters

Conversores de HTML a PDF Nachrichten

Onderzoekers hebben een niet-gepatchte beveiligingskwetsbaarheid onthuld in “dompdf,” een op PHP gebaseerde HTML-naar-PDF-converter, die, indien succesvol misbruikt, kan leiden tot uitvoering van externe code in bepaalde configuraties.

“Door CSS te injecteren in de gegevens die door dompdf worden verwerkt, kan het worden misleid om een ​​kwaadaardig lettertype op te slaan met een .php-bestandsextensie in de lettertypecache, wat later kan worden uitgevoerd door het vanaf het web te openen”, aldus Maximilian Kirchmeier en onderzoekers van Positive Security. Fabian Bräunlein zei in een vandaag gepubliceerd rapport.

Met andere woorden, de fout staat toe een kwaadwillende partij om lettertypebestanden met een .php-extensie naar de webserver te uploaden, die vervolgens kunnen worden geactiveerd met behulp van een XSS-kwetsbaarheid om HTML in een webpagina te injecteren voordat deze als PDF wordt weergegeven.

HTML naar PDF-converters

Dit betekende dat de aanvaller mogelijk naar het geüploade .php-script kon navigeren, waardoor de uitvoering van externe code op de server effectief mogelijk werd.

Dit kan aanzienlijke gevolgen hebben voor websites die het genereren van pdf’s aan de serverzijde vereisen op basis van door de gebruiker aangeleverde gegevens, zoals ticketaankopen en andere ontvangstbewijzen, met name wanneer de invoer niet voldoende is opgeschoond om XSS-fouten te verhelpen of als de bibliotheek in een openbare ruimte is geïnstalleerd. -toegankelijke map.

Volgens statistieken op GitHub wordt dompdf gebruikt in bijna 59.250 repositories, waardoor het een populaire bibliotheek is voor het genereren van PDF’s in de programmeertaal PHP.

Dompdf-versies 1.2.0 en eerder die zich in een voor het web toegankelijke map bevinden en waarbij de instelling “$isRemoteEnabled” is ingeschakeld, moeten als kwetsbaar worden beschouwd. Versies 0.8.5 en eerder van de bibliotheek worden echter beïnvloed, zelfs als deze optie is ingesteld op onwaar.

Hoewel de kwetsbaarheid was gemeld aan de open-source projectbeheerders op 5 oktober 2021, moeten de ontwikkelaars nog een tijdlijn geven wanneer de fixes naar verwachting zullen worden uitgerold.

“Veiligheidskwetsbaarheden treden vaak op als gevolg van (ontwerp)beslissingen die zijn genomen op basis van onjuiste aannames over onderliggende of onderling verbonden componenten”, aldus de onderzoekers. “Update dompdf naar een recente versie en schakel $isRemoteEnabled uit, indien mogelijk voor uw gebruik.”

David
Rate author
Hackarizona