CVE-2026-49358
NiskieCVSS 3.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 — wyżej niż 2% wszystkich znanych CVE
Streszczenie
PhpWeasyPrint to biblioteka PHP umożliwiająca generowanie PDF z URL lub strony HTML. W wersjach przed 2.6.0, publiczna tablica `AbstractGenerator::$temporaryFiles` pozwala na usunięcie plików tymczasowych bez weryfikacji, co może prowadzić do nieautoryzowanego usunięcia plików.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowane usunięcie plików, co może prowadzić do utraty danych lub zakłócenia działania aplikacji. Wykorzystanie tej podatności może mieć poważne konsekwencje dla bezpieczeństwa systemu.
Rekomendacja
Zaleca się aktualizację PhpWeasyPrint do wersji 2.6.0 lub nowszej, aby usunąć tę podatność. Należy również przeanalizować kod aplikacji pod kątem potencjalnych odniesień do instancji generatora.
Oryginalny opis (angielski, źródło NVD)
PhpWeasyPrint is a PHP library allowing PDF generation from a URL or an HTML page. Prior to version 2.6.0, `AbstractGenerator::$temporaryFiles` is a public array, and `removeTemporaryFiles()` — invoked from `__destruct()` and from a registered shutdown function — calls `unlink()` on every entry without verifying that the path is contained within the temporary folder. Any code holding a reference to a generator instance can push an arbitrary path into the array and have it deleted on script shutdown. This mirrors the KnpLabs/snappy issue GHSA-87qc-37cw-84h4. PhpWeasyPrint version 2.6.0 contains a patch for the issue.

