PT-2022-6098 · Pdfkit · Pdfkit
Benoit Côté-Jodoin
·
Publicado
2022-09-09
·
Atualizado
2024-01-01
·
CVE-2022-25765
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do pdfkit de 0.0.0 a 0.8.7.2
Descrição
O problema está relacionado à verificação insuficiente de argumentos na biblioteca pdfkit, o que pode ser explorado por um invasor remoto para executar comandos arbitrários. Trata-se de uma vulnerabilidade de injeção de comando em que a URL não é devidamente sanitizada.
Recomendações
Para as versões do pdfkit de 0.0.0 a 0.8.7.2, atualize para uma versão posterior à 0.8.7.2, pois verificou-se que o patch inicial na versão 0.8.7.2 era ineficaz.
Como solução temporária, considere desativar o uso de URLs na biblioteca pdfkit até que um patch esteja disponível.
Restrinja o acesso ao módulo vulnerável para minimizar o risco de exploração.
Evite usar o parâmetro
URL no endpoint da API afetado até que o problema seja resolvido.Exploit
Correção
OS Command Injection
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Pdfkit