CVE-2024-25117

Versões do php-svg-lib anteriores à 0.5.2

O problema está relacionado à falha do php-svg-lib em validar se a propriedade font-family não contém uma URL PHAR, o que pode levar à execução remota de código (RCE) em versões do PHP anteriores à 8.0. Além disso, ele não verifica se referências externas são permitidas, o que pode levar à contornamento de restrições ou à RCE em projetos que utilizam essa biblioteca, caso não revalidem rigorosamente o fontName passado pelo php-svg-lib. As funções Style::fromAttributes() e Style::parseCssStyle() devem verificar o conteúdo do font-family para impedir o uso de uma URL PHAR. Bibliotecas que utilizam o php-svg-lib como dependência podem estar vulneráveis a algum tipo de contorno de restrições ou até mesmo a RCE se não verificarem novamente o valor do fontName passado pelo php-svg-lib.

Para versões anteriores à 0.5.2, atualize para a versão 0.5.2 ou posterior para resolver o problema. Como solução temporária, considere adicionar uma verificação nas funções Style::fromAttributes() e Style::parseCssStyle() para impedir o uso de uma URL PHAR no estilo font-family. Restrinja o acesso ao valor fontName passado pelo php-svg-lib para minimizar o risco de exploração. Evite usar o estilo font-family com entradas não confiáveis até que o problema seja resolvido.