![Dompdf](https://sp-ao.shortpixel.ai/client/to_webp,q_glossy,ret_img/https://www.cert.gov.py/wp-content/uploads/2023/02/Dompdf.png)
Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad con PoC pública que afecta a la librería Dompdf de PHP, que permitiría a un atacante eliminar archivos de manera arbitraria para provocar ejecución remota de código (RCE) en el sistema afectado.
La vulnerabilidad identificada como CVE-2023-23924, de severidad “Crítica” y con puntuación asignada de 10.0. Esta vulnerabilidad se debe a la incorrecta validación de URIs en la librería Dompdf de PHP. Esto permitiría a un atacante remoto omitir el análisis de archivos del tipo SVG mediante URIs arbitrarias, pudiendo provocar una eliminación arbitraria de archivos a través del envío de archivos especialmente diseñados a la librería afectada e incluso ejecución remota de código (RCE) dependiendo de los componentes disponibles en el sistema afectado.
Las versiones afectadas son:
- Dompdf, versiones anteriores a 2.0.2.
Recomendamos acceder a las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace:
Referencias: