pyhtml2pdf یک کتابخانه پایتون است که برای تبدیل محتوای HTML به اسناد PDF استفاده می شود. یک آسیبپذیری با شناسه CVE-2024-1647 و شدت بالا (7.5) در این کتابخانه کشف شده است که مهاجم با بهرهبرداری از آن میتواند از راه دور به فایلهای محلی، دسترسی پیدا کند. این نقص با نام Server Side XSS شناخته میشود.
بر اساس بردار حمله این آسیبپذیری (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N) بهرهبرداری از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N)، نیازمند هیچ پیشزمینهای نبوده و به راحتی قابل تکرار است و به شرایط خاصی نیازنیست (AC: L)، مهاجم برای انجام حمله نیاز به حسابکاربری با سطح دسترسی بالا یا پایین ندارد (PR: N)، به تعامل با کاربر نیز نیاز ندارد (UI:N)، بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U) و با بهرهبرداری از این آسیبپذیری، یک ضلع از سه ضلع امنیت را با شدت بالا تحت تأثیر قرار میگیرد.
محصولات تحتتأثیر
این آسیبپذیری نسخه 0.0.6 این کتابخانه را تحتتأثیر قرار میدهد.
توصیههای امنیتی
تاکنون هیچ راهحلی برای رفع کامل این آسیبپذیریها منتشر نشده است.
منبع خبر:
- 40