Para peneliti telah mengungkapkan kerentanan keamanan yang belum ditambal di " ," pengonversi HTML ke PDF berbasis PHP, yang, jika berhasil dieksploitasi, dapat menyebabkan eksekusi kode jarak jauh dalam konfigurasi tertentu.
"Dengan menyuntikkan CSS ke dalam data yang diproses oleh dompdf, dapat diakali untuk menyimpan font berbahaya dengan ekstensi file .php di cache font-nya, yang nantinya dapat dieksekusi dengan mengaksesnya dari web," peneliti Positive Security Maximilian Kirchmeier dan Fabian Bräunlein dalam sebuah laporan yang diterbitkan hari ini.
Dengan kata lain, cacat pihak jahat untuk mengunggah file font dengan ekstensi .php ke server web, yang kemudian dapat diaktifkan dengan menggunakan untuk menyuntikkan HTML ke halaman web sebelum dirender sebagai PDF.
Ini berarti penyerang berpotensi menavigasi ke skrip .php yang diunggah, yang secara efektif mengizinkan eksekusi kode jarak jauh di server.
Ini dapat memiliki konsekuensi yang signifikan pada situs web yang memerlukan pembuatan PDF sisi server berdasarkan data yang disediakan pengguna, seperti pembelian tiket dan tanda terima lainnya, terutama ketika input tidak dibersihkan secara memadai untuk mengurangi kelemahan XSS atau jika perpustakaan dipasang di tempat umum (direktori yang dapat diakses).
Menurut statistik di GitHub, dompdf digunakan di hampir 59.250 repositori, menjadikannya pustaka populer untuk menghasilkan PDF dalam bahasa pemrograman PHP.
Dompdf versi 1.2.0 dan sebelumnya yang terletak di direktori yang dapat diakses web dan memiliki pengaturan "$isRemoteEnabled" yang diaktifkan harus dianggap rentan. Namun, versi 0.8.5 dan sebelumnya dari pustaka akan terpengaruh meskipun opsi ini disetel ke salah.
Meskipun kerentanan dilaporkan ke pengelola proyek sumber terbuka pada 5 Oktober 2021, pengembang belum memberikan garis waktu kapan perbaikan diharapkan akan diluncurkan.
"Kerentanan keamanan sering terjadi karena keputusan (desain) yang dibuat berdasarkan asumsi yang salah tentang komponen yang mendasari atau saling berhubungan," kata para peneliti. "Perbarui dompdf ke versi terbaru dan matikan $isRemoteEnabled, jika memungkinkan untuk kasus penggunaan Anda."