CVE-2021-3902

Versões do dompdf anteriores à 2.0.0

Uma vulnerabilidade de restrição inadequada de entidades externas (XXE) no analisador SVG do dompdf permite ataques de falsificação de solicitação do lado do servidor (SSRF) e de deserialização. Esse problema pode ser explorado mesmo que a opção isRemoteEnabled esteja definida como false, permitindo que invasores realizem SSRF, divulguem arquivos de imagem internos e causem ataques de deserialização PHAR.

Para versões anteriores à 2.0.0, atualize para a versão 2.0.0 ou posterior para resolver o problema. Como solução temporária, considere desativar o analisador SVG no dompdf até que um patch esteja disponível. Restrinja o acesso a arquivos de imagem internos para minimizar o risco de exploração. Evite usar a opção isRemoteEnabled definida como false, pois isso não impede que a vulnerabilidade seja explorada.