CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-55853

Critical
Published: Translated: NVD NIST

Summary

SoftVision webPDF w wersjach przed 10.0.2 jest podatny na atak typu Server-Side Request Forgery (SSRF). Funkcja konwersji PDF nie sprawdza, czy w przesyłanych plikach żądane są zasoby wewnętrzne lub zewnętrzne, co umożliwia wykorzystanie protokołów takich jak http:// i file:///.

Risk Assessment

Atakujący może przesłać plik XML lub HTML, który po przetworzeniu na PDF umożliwia skanowanie portów wewnętrznych oraz lokalne włączenie plików (LFI), co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Recommendation

Zaleca się aktualizację do wersji 10.0.2 lub nowszej, aby zlikwidować tę podatność oraz wdrożenie dodatkowych mechanizmów weryfikacji przesyłanych plików.

Original NVD description (English source)

SoftVision webPDF before 10.0.2 is vulnerable to Server-Side Request Forgery (SSRF). The PDF converter function does not check if internal or external resources are requested in the uploaded files and allows for protocols such as http:// and file:///. This allows an attacker to upload an XML or HTML file in the application, which when rendered to a PDF allows for internal port scanning and Local File Inclusion (LFI).

Vulnerability data from NVD (NIST) · CISA KEV · EPSS