Уязвимость в популярном генераторе PDF-документов ставит сайты под угрозу взлома

В решении для создания PDF-документов обнаружена критическая уязвимость, с помощью которой злоумышленники могут выполнить произвольный код и скомпрометировать сайты. Речь идет о PHP-библиотеке TCPDF, которая наряду с инструментами mPDF и FPDF является одним из наиболее популярных средств для преобразования HTML кода в PDF-файлы.

Уязвимость (CVE-2018-17057) на минувших выходных описал исследователь безопасности, использующий псевдоним Polict. Баг связан с PHP-сериализацией и может быть проэксплуатирован двумя способами: на использующих TCPDF web-сайтах, разрешающих добавление пользовательских данных в процессе генерации PDF-файла (имен и другой информации) и на ресурсах, содержащих XSS-уязвимости, где атакующий может вставить вредоносный код в код HTML.

Основной нюанс заключается во внедрении вредоносных данных в библиотеку TCPDF. Как отмечается, метод эксплуатации уязвимости довольно сложный. Для этого атакующему потребуется заставить библиотеку запросить оболочку "phar://", а затем проэксплуатировать процесс десериализации для запуска кода на сервере.

Polict проинформировал разработчиков TCPDF о проблеме в августе прошлого года. Уже в следующем месяце команда выпустила исправленную версию продукта - TCPDF 6.2.20. Однако в новой версии разработчики случайно допустили похожую ошибку, в итоге обе проблемы были устранены в релизе TCPDF 6.2.22.