Katalog CVE

CVE-2025-55853

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

SoftVision webPDF w wersjach przed 10.0.2 jest podatny na atak typu Server-Side Request Forgery (SSRF). Funkcja konwersji PDF nie sprawdza, czy w przesyłanych plikach żądane są zasoby wewnętrzne lub zewnętrzne, co umożliwia wykorzystanie protokołów takich jak http:// i file:///.

Ocena ryzyka

Atakujący może przesłać plik XML lub HTML, który po przetworzeniu na PDF umożliwia skanowanie portów wewnętrznych oraz lokalne włączenie plików (LFI), co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację do wersji 10.0.2 lub nowszej, aby zlikwidować tę podatność oraz wdrożenie dodatkowych mechanizmów weryfikacji przesyłanych plików.

Oryginalny opis (angielski, źródło NVD)

SoftVision webPDF before 10.0.2 is vulnerable to Server-Side Request Forgery (SSRF). The PDF converter function does not check if internal or external resources are requested in the uploaded files and allows for protocols such as http:// and file:///. This allows an attacker to upload an XML or HTML file in the application, which when rendered to a PDF allows for internal port scanning and Local File Inclusion (LFI).

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS