Инклюдинг локальных файлов в dompdf

Дата публикации:
01.09.2009
Дата изменения:
01.09.2009
Всего просмотров:
11292
Опасность:
Средняя
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Раскрытие важных данных
Раскрытие системных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
dompdf 0.x
Уязвимые версии: dompdf 0.5.1, и более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю получить доступ к важным данным.

Уязвимость возникает из-за недостаточной обработки входных данных в параметре "input_file" в сценарии dompdf.php во время генерации PDF файлов. Удаленный пользователь может прочитать произвольные файлы из локальных ресурсов посредством символов обхода каталога.

URL производителя: http://www.digitaljunkies.ca/dompdf/index.php

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: http://archives.neohapsis.com/archives/fulldisclosure/2009-07/0417.html
http://www.digitaljunkies.ca/dompdf/index.php