漏洞类型:命令注入
分险等级:严重
MPS编号:MPS-2022-5124
发现时间:2022/9/9
CVE编号: CVE-2022-25765
漏洞影响广度:极小
CNVD编号:-
漏洞描述:
pdfkit 是一个使用wkhtmltopdf将HTML转化为PDF的工具。
pdfkit 在0.8.7之前的版本中由于对 URL 未正确清理从而存在命令注入漏洞。攻击者可利用此漏洞通过构造恶意url参数进行命令注入,从而进行任意代码执行。
影响范围:
pdfkit@[0.0.0, +∞)
pdfkit@[0.0.0, 0.8.7)
修复方案:
升级pdfkit到 0.8.7 或更高版本
参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2022-25765
