PT-2020-16903 · Wkhtmltopdf+1 · Wkhtml2Pdf+1
Naveen Sunkavally
·
Publicado
2020-10-30
·
Atualizado
2021-07-21
·
CVE-2020-28031
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do eramba até a c2.8.1
Descrição
A vulnerabilidade permite a injeção no cabeçalho HTTP Host, o que pode resultar na impressão de PDFs via wkhtml2pdf por usuários autenticados.
Recomendações
Para versões até c2.8.1, considere restringir o acesso a usuários autenticados para minimizar o risco de exploração. Como solução temporária, considere desativar o uso do wkhtml2pdf para impressão de PDF até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Special Elements Injection
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Eramba
Wkhtml2Pdf