一、 漏洞 CVE-2023-23924 基础信息
漏洞标题
在 Dompdf 中 SVG 解析时的 URI 验证失败
来源:AIGC 神龙大模型
漏洞描述信息
在Dompdf的SVG解析中发生URI验证失败
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
URI validation failure on SVG parsing in Dompdf
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Dompdf is an HTML to PDF converter. The URI validation on dompdf 2.0.1 can be bypassed on SVG parsing by passing `<image>` tags with uppercase letters. This may lead to arbitrary object unserialize on PHP < 8, through the `phar` URL wrapper. An attacker can exploit the vulnerability to call arbitrary URL with arbitrary protocols, if they can provide a SVG file to dompdf. In PHP versions before 8.0.0, it leads to arbitrary unserialize, that will lead to the very least to an arbitrary file deletion and even remote code execution, depending on classes that are available.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
不正确的行为次序:在解析与净化处理之前进行授权
来源:美国国家漏洞数据库 NVD
漏洞标题
Dompdf 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Dompdf是一个 HTML 到 PDF 的转换器。 Dompdf 2.0.1版本存在安全漏洞。攻击者利用该漏洞可以使用任意协议调用任意URL。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-23924 的公开POC
# POC 描述 源链接 神龙链接
1 CVE-2023-23924 (Dompdf - RCE) PoC https://github.com/motikan2010/CVE-2023-23924 POC详情
三、漏洞 CVE-2023-23924 的情报信息