CVE-2024-25180

pdfmake versão 0.2.9

Uma falha no pdfmake permite que invasores remotos executem código arbitrário por meio de uma solicitação POST maliciosa enviada ao endpoint /pdf. Observe que o comportamento do endpoint /pdf é intencional e só fica disponível após a instalação de uma estrutura de testes fora do aplicativo pdfmake. É de responsabilidade do instalador garantir que o endpoint seja acessível apenas a testadores autorizados.

Para a versão 0.2.9 do pdfmake, como solução temporária, considere restringir o acesso ao endpoint /pdf para minimizar o risco de exploração. Certifique-se de que a estrutura de testes seja instalada apenas em ambientes onde o comportamento intencional do endpoint /pdf seja compreendido e gerenciado, limitando sua disponibilidade a testadores autorizados. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.