CVE-2025-56590
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 38 - wyżej niż 38% wszystkich znanych CVE
Streszczenie
W funkcji InsertFromURL() zestawu SDK Apryse HTML2PDF do wersji 11.10 wykryto podatność, która może pozwolić atakującemu na wykonanie dowolnych poleceń systemu operacyjnego na lokalnym serwerze.
Ocena ryzyka
Atakujący może zdalnie przejąć kontrolę nad serwerem, wykonać złośliwe polecenia, co prowadzi do naruszenia poufności, integralności i dostępności danych oraz systemu.
Rekomendacja
Należy natychmiast zaktualizować zestaw SDK Apryse HTML2PDF do najnowszej wersji, która usuwa tę podatność, oraz ograniczyć dostęp do funkcji InsertFromURL() tylko dla zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
An issue was discovered in the InsertFromURL() function of the Apryse HTML2PDF SDK thru 11.10. This vulnerability could allow an attacker to execute arbitrary operating system commands on the local server.

