pdfmake <=0.2.6 存在远程代码执行漏洞

时间:2022-12-10 08:07:56

漏洞描述

pdfmake 是一个支持服务端/客户端 PDF 打印的开源代码库。

pdfmake 0.2.6及之前版本中由于 server.js 类中存在远程代码执行漏洞,漏洞源于用于创建 PDF 的 “/api”端点中的 eval 方法不会清理用户输入进行过滤,执行也不会在沙盒环境中进行。攻击者可利用此漏洞发送恶意的 POST 请求远程执行恶意代码。

漏洞名称 pdfmake <=0.2.6 存在远程代码执行漏洞
漏洞类型 代码注入
发现时间 2022-12-07
漏洞影响广度 极小
MPS编号 MPS-2022-65554
CVE编号 CVE-2022-46161
CNVD编号 -

影响范围

pdfmake@(-∞, 0.3.0-beta.1)

修复方案

升级pdfmake到 0.3.0-beta.1 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2022-65554

https://nvd.nist.gov/vuln/detail/CVE-2022-46161

https://securitylab.github.com/advisories/GHSL-2022-068_pdfmake/

https://github.com/bpampuch/pdfmake/blob/802813970ac6de68a0bd0931b74150b33da0dd18/dev-playground/server.js#L32

https://github.com/bpampuch/pdfmake/commit/c153a2502d1625a56b3c29324a4fddedb75aa394

    

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:

https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

pdfmake <=0.2.6 存在远程代码执行漏洞