PT-2024-34506 · Tcpdf+2 · Tcpdf+2

Saravana Kumar

·

Publicado

2024-11-26

·

Atualizado

2025-08-21

·

CVE-2024-51058

CVSS v3.1

6.2

Média

VetorAV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas:
TCPDF versão 6.7.5
Descrição:
Foi detectada uma vulnerabilidade de inclusão de arquivo local (LFI), que permite que um usuário leia arquivos arbitrários do sistema de arquivos do servidor por meio da tag src em um elemento img, expondo potencialmente informações confidenciais.
Recomendações:
Para o TCPDF versão 6.7.5, considere desativar a tag img ou restringir o atributo src para impedir a exploração até que um patch esteja disponível. Restrinja o acesso a arquivos confidenciais no servidor para minimizar o risco de exposição de informações. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Files Accessible to External Parties

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-552

Identificadores relacionados

BDU:2025-10863
CVE-2024-51058
DLA-4199-1
DSA-5933-1
GHSA-RMV2-8JJC-23XW

Produtos afetados

Debian
Red Os
Tcpdf