CVE-2020-7763

Versões do phantom-html-to-pdf anteriores à 0.6.1

A vulnerabilidade afeta o pacote phantom-html-to-pdf, permitindo uma possível exploração. Os detalhes técnicos sobre a exploração incluem o uso da função conversion do módulo “phantom-html-to-pdf”, onde definir allowLocalFilesAccess como false não impede o acesso a arquivos locais. Um exemplo de exploração usa o parâmetro html com uma instrução document.write para acessar o arquivo c:/windows/win.ini, demonstrando a vulnerabilidade.

Para versões anteriores à 0.6.1, atualize para a versão 0.6.1 ou posterior para resolver o problema. Como solução alternativa temporária, considere definir allowLocalFilesAccess como true e implementar validação adicional no parâmetro html para impedir o acesso malicioso a arquivos locais. No entanto, a atualização para uma versão corrigida é a solução recomendada.