流行的HTML到PDF转换器 dompdf 库RCE漏洞至今仍未修复

最近的网络安全研究中，安全研究人员披露了 dompdf 项目中的一个安全漏洞，该项目是一种基于 PHP 的 HTML 到 PDF 转换器，如果该安全漏洞被成功利用，可能会导致某些配置下的远程代码执行。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理，通过将 CSS 注入 dompdf 处理的数据中，它可以被诱骗在其字体缓存中存储带有 .php 文件扩展名的恶意字体，然后可以通过从网络访问它来执行。

换句话说，该漏洞允许恶意方将扩展名为 .php 的字体文件上传到 Web 服务器，然后可以通过使用XSS 漏洞将 HTML 注入到网页中，然后再将其呈现为 PDF 来激活该文件。

这意味着攻击者可能会执行到上传的 .php 脚本，从而有效地允许在服务器上远程执行代码。

根据网络安全行业门户「极牛网」GEEKNB.COM在 GitHub 上的统计，dompdf 被用于近 59250 个存储库中，使其成为使用 PHP 编程语言生成 PDF 的流行库。

Dompdf 版本 1.2.0 和更早版本位于 Web 可访问目录中并启用了“$isRemoteEnabled”设置应被视为易受攻击。但是，即使此选项设置为 false，库的 0.8.5 版及之前的版本也会受到影响。

尽管该漏洞已于2021 年 10 月 5 日向开源项目维护者报告，但开发人员尚未提供修复计划时间表。安全研究人员建议，如果可能的话，将 dompdf 更新到最新版本并关闭 $isRemoteEnabled。