Unknown · Php-Svg-Lib · CVE-2024-25117
**Nome do software vulnerável e versões afetadas**
Versões do php-svg-lib anteriores à 0.5.2
**Descrição**
O problema está relacionado à falha do php-svg-lib em validar se a propriedade `font-family` não contém uma URL PHAR, o que pode levar à execução remota de código (RCE) em versões do PHP anteriores à 8.0. Além disso, ele não verifica se referências externas são permitidas, o que pode levar à contornamento de restrições ou à RCE em projetos que utilizam essa biblioteca, caso não revalidem rigorosamente o `fontName` passado pelo php-svg-lib. As funções `Style::fromAttributes()` e `Style::parseCssStyle()` devem verificar o conteúdo do `font-family` para impedir o uso de uma URL PHAR. Bibliotecas que utilizam o php-svg-lib como dependência podem estar vulneráveis a algum tipo de contorno de restrições ou até mesmo a RCE se não verificarem novamente o valor do `fontName` passado pelo php-svg-lib.
**Recomendações**
Para versões anteriores à 0.5.2, atualize para a versão 0.5.2 ou posterior para resolver o problema. Como solução temporária, considere adicionar uma verificação nas funções `Style::fromAttributes()` e `Style::parseCssStyle()` para impedir o uso de uma URL PHAR no estilo `font-family`. Restrinja o acesso ao valor `fontName` passado pelo php-svg-lib para minimizar o risco de exploração. Evite usar o estilo `font-family` com entradas não confiáveis até que o problema seja resolvido.