Вектор уязвимости:

• Базовый вектор уязвимости (CVSSv4.0): CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N
• Уровень критичности уязвимости (CVSSv4.0): 8.8 (high)

Описание уязвимости:

В TCPDF была выявлена проблема, затрагивающая версию 6.9.1.

В данной библиотеке присутствует класс, содержащий POP (Property Oriented Programming) цепочку. При десериализации этого класса с определенными значениями некоторых полей атакующий может удалить произвольный файл из системы.

Статус уязвимости: Подтверждена производителем

Дата исправления уязвимости: 20.04.2025

Рекомендации:

• Обновление до версии 6.9.3 или выше

Прочая информация: История изменений

Исследователь: Никита Свешников, Алексей Соловьев (Positive Technologies)