CVE-2024-21544

Versões do spatie/browsershot anteriores à 5.0.1

O problema está relacionado à validação inadequada de entradas devido à validação incorreta de URLs por meio do método setUrl. Um invasor pode explorar essa vulnerabilidade usando um espaço em branco inicial (%20) antes do protocolo file://, resultando em inclusão de arquivo local. Isso permite que o invasor leia arquivos confidenciais no servidor.

Para versões anteriores à 5.0.1, atualize para a versão 5.0.1 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso do método setUrl para minimizar o risco de exploração. Evite usar espaços em branco à esquerda antes do protocolo file:// em URLs passadas para o método setUrl até que o problema seja resolvido.