Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Yazı Tipi BoyutlandırıcıAa
  • Anasayfa
  • Teknoloji
    • Siber Güvenlik
    • Yapay Zeka
    • Donanım
    • Bilim
  • Yazılım
  • Savunma & İstihbarat
  • Oyun
  • Yaşam
    • Finans
    • Sinema
    • Dünyadan Haberler
  • İş Birliği
Okuma: Dompdf Projesinde Yamasız RCE Hatası HTML’den PDF’ye Dönüştürücüleri Etkiliyor
Paylaş
Yazı Tipi BoyutlandırıcıAa
Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Ara
Bizi Takip Et
  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti
© 2026 Teknomers. All Rights Reserved.

Anasayfa » Dompdf Projesinde Yamasız RCE Hatası HTML’den PDF’ye Dönüştürücüleri Etkiliyor

GenelSiber Güvenlik

Dompdf Projesinde Yamasız RCE Hatası HTML’den PDF’ye Dönüştürücüleri Etkiliyor

teknomers
Son güncelleme: 19 Mart 2022 14:51
teknomers
Paylaş
Paylaş


Araştırmacılar, “dompdf,” PHP tabanlı bir HTML’den PDF’ye dönüştürücü, başarıyla kullanılırsa belirli yapılandırmalarda uzaktan kod yürütülmesine neden olabilir.

Positive Security araştırmacıları Maximilian Kirchmeier ve “Dompdf tarafından işlenen verilere CSS enjekte edilerek, kandırılarak yazı tipi önbelleğinde bir .php dosya uzantısına sahip kötü amaçlı bir yazı tipi depolanabilir ve bu yazı tipi önbelleğine daha sonra web’den erişilerek çalıştırılabilir.” Fabian Braunlein dedim bugün yayınlanan bir raporda

Başka bir deyişle, kusur izin verir .php uzantılı yazı tipi dosyalarını web sunucusuna yüklemek için kötü niyetli bir taraf, daha sonra bir XSS güvenlik açığı PDF olarak işlenmeden önce bir web sayfasına HTML enjekte etmek.

HTML'den PDF'ye Dönüştürücüler

Bu, saldırganın potansiyel olarak yüklenen .php komut dosyasına gidebileceği ve sunucuda uzaktan kod yürütülmesine etkin bir şekilde izin verebileceği anlamına geliyordu.

Bu, bilet satın almaları ve diğer makbuzlar gibi kullanıcı tarafından sağlanan verilere dayalı olarak sunucu tarafında PDF’lerin oluşturulmasını gerektiren web sitelerinde, özellikle girdiler XSS kusurlarını azaltmak için yeterince sterilize edilmediğinde veya kitaplığın halka açık bir platforma kurulduğunda önemli sonuçlar doğurabilir. -erişilebilir dizin.

GitHub istatistiklerine göre, dompdf yaklaşık 59.250 depoda kullanılıyor ve bu da onu PHP programlama dilinde PDF’ler oluşturmak için popüler bir kütüphane haline getiriyor.

Web’den erişilebilen bir dizinde bulunan ve “$isRemoteEnabled” ayarının açık olduğu Dompdf 1.2.0 ve önceki sürümleri, güvenlik açığı olarak kabul edilmelidir. Ancak kitaplığın 0.8.5 ve önceki sürümleri, bu seçenek false olarak ayarlandığında bile etkilenir.

Güvenlik açığı olmasına rağmen rapor edildi 5 Ekim 2021’de açık kaynaklı proje sahiplerine, geliştiriciler düzeltmelerin ne zaman kullanıma sunulmasının beklendiği konusunda henüz bir zaman çizelgesi sağlamıyor.

Araştırmacılar, “Güvenlik açıkları genellikle, temeldeki veya birbirine bağlı bileşenlerle ilgili yanlış varsayımlara dayalı olarak alınan (tasarım) kararları nedeniyle ortaya çıkar.” Dedi. “Dompdf’i yeni bir sürüme güncelleyin ve mümkünse kullanım durumunuz için $isRemoteEnabled’ı kapatın.”



siber-2

Cities Skylines 2, bir dizi yeni hizmetle kaos ve güvenlik arasındaki çizgide ilerlemenizi sağlar
Basit bir 2,4 litrelik motor, dört tekerlekten çekiş, 6 vitesli otomatik şanzıman ve 10 yılda yalnızca 1.458 km kilometre performansı. Yeni Opel Antara Rusya’da satılıyor
Nvidia artık Apple’ın ardından ikinci sırada yer alıyor. Şirket, TSMC’nin en büyük ikinci müşterisi oldu
Süper gerçekçi FPS vücut kamerası oyunu yayında ve hemen oynayabilirsiniz
Açık Kaynak Geliştiricilerini İhmal Etmek İnterneti Riske Sokar
ETİKETLENDİ:ağ güvenliğibilgi Güvenliğibilgisayar Güvenliğibugün siber güvenlik haberleriDompdfDönüştürücüleriEtkiliyorfidye yazılımıhack haberlerihacker haberleriHatasıHTMLdenNasıl heklenirPDFyeprojesindeRCEsiber güncellemelersiber güvenlik güncellemelerisiber güvenlik haberlerisiber habersiber saldırılarveri ihlaliYamasızyazılım güvenlik açığı
Bu Makaleyi Paylaş
Facebook Bağlantıyı Kopyala Yazdır
Paylaş
Önceki Makale Casa Casi 48: Ukrayna’da Savaş – ve İnternette
Sonraki Makale Mart 2022 için en iyi jeneratör fırsatları
Yorum yapılmamış

Bir yanıt yazın Yanıtı iptal et

Yorum yapabilmek için oturum açmalısınız.

Sanal Medya

FacebookBeğen
452Takip Et
PinterestSabitle
237Takip Et

Son Eklenenler

SAP, NetWeaver ve Commerce Cloud’da Acil Güvenlik Açıkları Açıkladı
Siber Güvenlik
Sony Yeni PS5 Dövüş Kumandasını Erteledi mi?
Liste
Benedict Cumberbatch Kartlarının Gizemi: Magic: The Gathering Dünyası
Oyun
AI Gözlükler Cazip Değil mi? Lorde Ne Düşünüyor
Genel
Isıtmayı yönlendiren ve hafızasını koruyan programlanabilir malzeme geliştirildi
Donanım
Göze çarpan Nothing Watch 3 Pro sadece 69 dolar
Liste
//

Siber güvenlik, yapay zeka ve savunma sanayiinden; finans ve sinema dünyasına uzanan geniş bir yelpaze. Teknomers; teknoloji, strateji ve yazılım dünyasını sade bir dille sizlerle buluşturuyor.

Kurumsal

  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti

Kategoriler

  • Teknoloji
  • Oyun
  • Sinema
  • Siber Güvenlik
  • Bilim
  • Finans
  • Dünyadan Güncel Haberler

Populer

  • TV'de Ücretsiz İzlenebilen Şifresiz Erotik Kanallar (2025 Güncel Frekans Listesi)

  • The Last of Us PC Kontrolleri: Hızlı Silah Değiştirme ve Tüm Tuşlar (2025)

  • Hogwarts Legacy'de Odaklanma İksiri Nasıl Yapılır?

Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Bizi Takip Et
© 2026 Teknomers. All Rights Reserved.
Welcome Back!

Sign in to your account

Kullanıcı Adı veya E-posta Adresi
Şifre

Şifrenizi mi unuttunuz?