流行的HTML到PDF转换器dompd

北京哪家青春痘医院好 http://pf.39.net/bdfyy/bdflx/210312/8740647.html

最近的网络安全研究中,安全研究人员披露了dompdf项目中的一个安全漏洞,该项目是一种基于PHP的HTML到PDF转换器,如果该安全漏洞被成功利用,可能会导致某些配置下的远程代码执行。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理,通过将CSS注入dompdf处理的数据中,它可以被诱骗在其字体缓存中存储带有.php文件扩展名的恶意字体,然后可以通过从网络访问它来执行。

换句话说,该漏洞允许恶意方将扩展名为.php的字体文件上传到Web服务器,然后可以通过使用XSS漏洞将HTML注入到网页中,然后再将其呈现为PDF来激活该文件。

这意味着攻击者可能会执行到上传的.php脚本,从而有效地允许在服务器上远程执行代码。

根据网络安全行业门户「极牛网」GEEKNB.COM在GitHub上的统计,dompdf被用于近个存储库中,使其成为使用PHP编程语言生成PDF的流行库。

Dompdf版本1.2.0和更早版本位于Web可访问目录中并启用了“isRemoteEnabled”设置应被视为易受攻击。但是,即使此选项设置为false,库的0.8.5版及之前的版本也会受到影响。

尽管该漏洞已于年10月5日向开源项目维护者报告,但开发人员尚未提供修复计划时间表。安全研究人员建议,如果可能的话,将dompdf更新到最新版本并关闭isRemoteEnabled。

预览时标签不可点收录于合集#个上一篇下一篇

转载请注明:http://www.aierlanlan.com/cyrz/433.html