PHP向けPDF生成ライブラリに脆弱性 - 過去修正が不十分

URLやHTMLを指定し、画像やサムネイル、PDFなどを生成できるPHP向けラッパーライブラリ「snappy」に脆弱性が明らかとなった。アップデートが提供されている。

同ライブラリにおいてプロトコルのチェックに不備があり、「PHAR」において信頼できないデータをデシリアライズする脆弱性「CVE-2023-41330」が明らかとなったもの。3月に「CVE-2023-28115」が明らかとなり、「同1.4.2」にて対策を講じたが、修正部分をバイパスすることが可能だった。

フレームワークや開発コードにおいて同ライブラリを使用している場合、脆弱性を悪用されるとリモートよりコードを実行されるおそれがある。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」、重要度は「クリティカル（Critical）」とレーティングされている。

開発者は、同脆弱性を解消した「同1.4.3」をリリース。アップデートが呼びかけられている。

（Security NEXT - 2023/09/11 ） ツイート

PR

関連記事

ランサム被害を公表、手作業で受注対応 - アサヒグループHD
監査関連資料を誤送信、メアド入力ミスで - 三重県
ランサム被害で学生の個人情報流出を確認 - 宮城学院
国勢調査でメモに使った付箋を紛失 - むつ市
白衣ポケットから盗難、被害メモに患者情報含む可能性 - 東海大病院
「Cisco ASA」狙うゼロデイ攻撃、5月に複数政府機関で確認
「MS Edge 141」がリリース - 12件の脆弱性を解消
SBI Cryptoで自己保有の暗号資産が流出 - 原因や被害など調査
「Termix」のDockerイメージにSSH認証情報が流出するおそれ
米当局、脆弱性5件の悪用に注意喚起 -10年以上前の「Shellshock」関連も