Katalog CVE

CVE-2026-49358

NiskieCVSS 3.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.11%

Percentyl 2 — wyżej niż 2% wszystkich znanych CVE

Streszczenie

PhpWeasyPrint to biblioteka PHP umożliwiająca generowanie PDF z URL lub strony HTML. W wersjach przed 2.6.0, publiczna tablica `AbstractGenerator::$temporaryFiles` pozwala na usunięcie plików tymczasowych bez weryfikacji, co może prowadzić do nieautoryzowanego usunięcia plików.

Ocena ryzyka

Organizacje mogą być narażone na nieautoryzowane usunięcie plików, co może prowadzić do utraty danych lub zakłócenia działania aplikacji. Wykorzystanie tej podatności może mieć poważne konsekwencje dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację PhpWeasyPrint do wersji 2.6.0 lub nowszej, aby usunąć tę podatność. Należy również przeanalizować kod aplikacji pod kątem potencjalnych odniesień do instancji generatora.

Oryginalny opis (angielski, źródło NVD)

PhpWeasyPrint is a PHP library allowing PDF generation from a URL or an HTML page. Prior to version 2.6.0, `AbstractGenerator::$temporaryFiles` is a public array, and `removeTemporaryFiles()` — invoked from `__destruct()` and from a registered shutdown function — calls `unlink()` on every entry without verifying that the path is contained within the temporary folder. Any code holding a reference to a generator instance can push an arbitrary path into the array and have it deleted on script shutdown. This mirrors the KnpLabs/snappy issue GHSA-87qc-37cw-84h4. PhpWeasyPrint version 2.6.0 contains a patch for the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS