漏洞标题
N/A
漏洞描述信息
**争议** 自7.1.6版本以来,mPDF如果部署为可接受任意HTML的Web应用程序,则允许SSRF,如一个<img src="http://192.168">子字符串触发在Image/ImageProcessor.php中调用getImage方法。注意:软件维护者对此表示怀疑,并称“如果您允许用户绕过HTML Sanitization,您这是在找麻烦。”
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
mPDF through 7.1.6, if deployed as a web application that accepts arbitrary HTML, allows SSRF, as demonstrated by a '<img src="http://192.168' substring that triggers a call to getImage in Image/ImageProcessor.php. NOTE: the software maintainer disputes this, stating "If you allow users to pass HTML without sanitising it, you're asking for trouble.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
mPDF 安全漏洞
漏洞描述信息
mPDF是一款使用PHP编写的用于将HTML转换成PDF文件的库。 mPDF 7.1.6及之前的版本中存在安全漏洞。攻击者可利用该漏洞执行任意HTML。
CVSS信息
N/A
漏洞类别
授权问题