PT-2024-21182 · Xhtml2Pdf+1 · Xhtml2Pdf+1
Salvatore-Abello
·
Publicado
2024-10-08
·
Atualizado
2024-12-18
·
CVE-2024-25885
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
xhtml2pdf versão 0.2.13
Descrição
A vulnerabilidade permite que invasores provoquem uma negação de serviço por expressão regular (ReDOS) ao fornecer uma string maliciosa à função
getcolor no arquivo utils.py. Isso pode ser explorado mediante o envio de uma entrada especialmente criada para esse fim.Recomendações
Para o xhtml2pdf versão 0.2.13, considere desativar a função
getcolor em utils.py até que um patch esteja disponível para prevenir possíveis ataques ReDOS. Restrinja a entrada na função getcolor para minimizar o risco de exploração.Correção
DoS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Xhtml2Pdf