Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • El error RCE sin parches en el proyecto dompdf afecta a los convertidores de HTML a PDF
  • Tecnología

El error RCE sin parches en el proyecto dompdf afecta a los convertidores de HTML a PDF

teknomers 16 de Mart de 2022 (Last updated: 16 de Mart de 2022) 2 minutes read
El error RCE sin parches en el proyecto dompdf afecta


Los investigadores han revelado una vulnerabilidad de seguridad sin parches en “dompdfun convertidor de HTML a PDF basado en PHP que, si se explota con éxito, podría conducir a la ejecución remota de código en ciertas configuraciones.

“Al inyectar CSS en los datos procesados ​​por dompdf, se puede engañar para que almacene una fuente maliciosa con una extensión de archivo .php en su caché de fuentes, que luego se puede ejecutar accediendo desde la web”, los investigadores de Positive Security Maximilian Kirchmeier y fabian braunlein dijo en un informe publicado hoy.

Copias de seguridad automáticas de GitHub

En otras palabras, el defecto permite una parte malintencionada para cargar archivos de fuentes con una extensión .php al servidor web, que luego se puede activar mediante el uso de un Vulnerabilidad XSS para inyectar HTML en una página web antes de que se represente como PDF.

Conversores de HTML a PDF

Esto significaba que el atacante podría potencialmente navegar al script .php cargado, lo que permitía efectivamente la ejecución remota de código en el servidor.

Esto puede tener consecuencias significativas en los sitios web que requieren la generación de PDF del lado del servidor en función de los datos proporcionados por el usuario, como compras de boletos y otros recibos, particularmente cuando las entradas no se desinfectan adecuadamente para mitigar las fallas de XSS o si la biblioteca está instalada en un lugar público. -directorio accesible.

Según las estadísticas de GitHub, dompdf se usa en casi 59 250 repositorios, lo que la convierte en una biblioteca popular para generar archivos PDF en el lenguaje de programación PHP.

Evitar violaciones de datos

Las versiones de Dompdf 1.2.0 y anteriores que se encuentran en un directorio accesible desde la web y tienen activada la configuración “$isRemoteEnabled” deben considerarse vulnerables. Sin embargo, las versiones 0.8.5 y anteriores de la biblioteca se ven afectadas incluso cuando esta opción se establece en falso.

Aunque la vulnerabilidad era reportado a los mantenedores del proyecto de código abierto el 5 de octubre de 2021, los desarrolladores aún no han proporcionado un cronograma de cuándo se espera que se implementen las correcciones.

“Las vulnerabilidades de seguridad a menudo ocurren debido a decisiones (de diseño) basadas en suposiciones incorrectas sobre componentes subyacentes o interconectados”, dijeron los investigadores. “Actualice dompdf a una versión más reciente y desactive $isRemoteEnabled, si es posible para su caso de uso”.



ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Klarna x William Fan: Una bolsa para compras sin efectivo
Next: Las imágenes muestran a civiles refugiados en el teatro antes del devastador bombardeo: “Un horrible crimen de guerra”

Related Stories

Volkswagen podría producir coches chinos en Alemania: un tabú acaba
  • Tecnología

Volkswagen podría producir coches chinos en Alemania: un tabú acaba de romperse

teknomers 5 de Temmuz de 2026
Aire acondicionado portátil o ventilador: el cálculo de la compra
  • Tecnología

Aire acondicionado portátil o ventilador: el cálculo de la compra

teknomers 5 de Temmuz de 2026
Copa Mundial de la FIFA 2026: una hacker accede a
  • Tecnología

Copa Mundial de la FIFA 2026: una hacker accede a los flujos de transmisión

teknomers 5 de Temmuz de 2026

You May Have Missed

Dos derrotas en 56 años: las estadísticas sorprendentes de México
  • Deporte

Dos derrotas en 56 años: las estadísticas sorprendentes de México en el Estadio Azteca antes del octavo de final contra Inglaterra

teknomers 5 de Temmuz de 2026
  • General

«Esta guerra es su elección»: en Ucrania, Zelensky desbarata el relato de Poutine

teknomers 5 de Temmuz de 2026
  • Cultura

«¡Ya no es una máquina de papá!» : el flipper no está muerto, la prueba en la primera feria de Île-de-France

teknomers 5 de Temmuz de 2026
Volkswagen podría producir coches chinos en Alemania: un tabú acaba
  • Tecnología

Volkswagen podría producir coches chinos en Alemania: un tabú acaba de romperse

teknomers 5 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.