Ommabop PDF hujjat generatoridagi zaiflik veb-saytlarni buzib kirish xavfiga qo’yadi.
TCPDF kutubxonasidagi xato kodni bajarish va veb-saytlarni boshqarish uchun ishlatilishi mumkin.
PDF hujjatlar yaratish yechimida hujumchilarga ixtiyoriy kodni bajarish va veb-saytlarni buzish imkonini beruvchi muhim zaiflik aniqlandi. Zaiflik PHP kutubxonasi TCPDFga ta’sir qiladi, u mPDF va FPDF bilan birgalikda HTML kodini PDF fayllariga aylantirish uchun eng mashhur vositalardan biridir. Zaiflik (CVE-2018-17057) hafta oxiri xavfsizlik tadqiqotchisi tomonidan «Polict» taxallusi bilan tasvirlangan. Xato PHP seriyalashtirish bilan bog’liq va undan ikki usulda foydalanish mumkin: TCPDF dan foydalanadigan va PDF yaratish paytida foydalanuvchi ma’lumotlarini (ismlar va boshqa ma’lumotlar) qo’shishga imkon beradigan veb-saytlarda va XSS zaifliklarini o’z ichiga olgan resurslarda, bu yerda hujumchi HTML kodiga zararli kod kiritishi mumkin.
Asosiy muammo TCPDF kutubxonasiga zararli ma’lumotlarni kiritish bilan bog’liq. Ekspluatatsiya usuli ancha murakkab ekanligi qayd etilgan. Buning uchun tajovuzkor kutubxonani «phar://» qobig’ini so’rashga majbur qilishi va keyin serverda kodni bajarish uchun deserializatsiya jarayonidan foydalanishi kerak bo’ladi.
Polict o’tgan yilning avgust oyida TCPDF ishlab chiquvchilariga muammo haqida xabar berdi. Keyingi oyda jamoa mahsulotning tuzatilgan versiyasini — TCPDF 6.2.20 ni chiqardi. Biroq, ishlab chiquvchilar tasodifan yangi versiyada shunga o’xshash xatoni kiritdilar; ikkala muammo ham oxir-oqibat TCPDF 6.2.22 da tuzatildi.
