CVE-2019-25729
CriticalCVSS 9.8Summary
PDF Signer 3.0 zawiera podatność na wstrzykiwanie szablonów po stronie serwera, która pozwala nieautoryzowanym atakującym na wykonanie dowolnego kodu poprzez wstrzykiwanie poleceń PHP za pomocą parametru cookie CSRF-TOKEN. Atakujący mogą stworzyć złośliwe wartości cookie zawierające ładunki wstrzykujące, takie jak shell_exec(), aby wykonywać polecenia systemowe.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym dostęp do systemu i wykradanie wrażliwych informacji. Wykorzystanie tej luki może prowadzić do kompromitacji serwera i utraty danych.
Recommendation
Zaleca się aktualizację PDF Signer do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto wdrożyć mechanizmy zabezpieczające, takie jak walidacja danych wejściowych i monitorowanie aktywności na serwerze.
Original NVD description (English source)
PDF Signer 3.0 contains a server-side template injection vulnerability that allows unauthenticated attackers to execute arbitrary code by injecting PHP commands through the CSRF-TOKEN cookie parameter. Attackers can craft malicious cookie values containing template injection payloads like shell_exec() to execute system commands and retrieve sensitive information from the server.

