Positive Technologies
Средний6.9
CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:P/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

PT-2025-02: Доступ к файлам и каталогам для внешней стороны в TCPDF

Тип ошибки:

  • CWE-552:Files or Directories Accessible to External Parties

Вектор уязвимости:

  • Базовый вектор уязвимости (CVSSv3.1): CVSS:3.1/ AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

  • Уровень критичности уязвимости (CVSSv3.1): 5.7 (medium)

  • Базовый вектор уязвимости (CVSSv4.0): CVSS:4.0/ AV:A/AC:L/AT:N/PR:N/UI:P/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

  • Уровень критичности уязвимости (CVSSv4.0): 6.9 (medium)

Описание уязвимости:

В TCPDF была выявлена проблема, затрагивающая версию 6.8.0.

Обнаруженная уязвимость может быть использована злоумышленником для передачи специально сформированного HTML-файла, содержащего картинку в Base64 формате. С помощью указанной нагрузки злоумышленник может обратиться к произвольной картинке за пределами директории.

Статус уязвимости: Подтверждена производителем

Дата исправления уязвимости: 26.01.2025

Рекомендации:

  • Обновление до версии 6.8.2 или выше

Исследователь: Владимир Разов (Positive Technologies)

Идентификаторы:

BDU:2025-02153

Вендор:

Tecnick.com LTD

Уязвимый продукт:

TCPDF

Уязвимые версии:

6.8.0