Описание
Уязвимость PHP-библиотеки TCPDF связана с непринятием мер по нейтрализации script-related тэгов HTML на веб-странице. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить межсайтовые сценарные атаки (XSS)
Вендор
Сообщество свободного программного обеспечения
ООО «Ред Софт»
Tecnick.com
Наименование ПО
Debian GNU/Linux
РЕД ОС
TCPDF
Версия ПО
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
13 (Debian GNU/Linux)
до 6.7.4 (TCPDF)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
ООО «Ред Софт» РЕД ОС 7.3
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 6,1)
Возможные меры по устранению уязвимости
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной
настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России,
утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для TCPDF:
https://github.com/tecnickcom/TCPDF/commit/82fc97bf1c74c8dbe62b1d3cc6d10fa4b87e0262
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-32489
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 38%
0.00166
Низкий
6.1 Medium
CVSS3
6.4 Medium
CVSS2
Связанные уязвимости
CVSS3: 6.1
ubuntu
почти 2 года назад
TCPDF before 6.7.4 mishandles calls that use HTML syntax.
CVSS3: 6.1
nvd
почти 2 года назад
TCPDF before 6.7.4 mishandles calls that use HTML syntax.
CVSS3: 6.1
debian
почти 2 года назад
TCPDF before 6.7.4 mishandles calls that use HTML syntax.
EPSS
Процентиль: 38%
0.00166
Низкий
6.1 Medium
CVSS3
6.4 Medium
CVSS2