Опубликовано: 15 апр. 2024
Источник: github
Github: Прошло ревью
CVSS4: 5.3
CVSS3: 6.1
Описание
TCPDF Cross-site Scripting vulnerability
TCPDF before 6.7.4 mishandles calls that use HTML syntax.
Ссылки
- https://nvd.nist.gov/vuln/detail/CVE-2024-32489
- https://github.com/tecnickcom/TCPDF/commit/51cd1b39de5643836e62661d162c472d63167df7
- https://github.com/tecnickcom/TCPDF/commit/82fc97bf1c74c8dbe62b1d3cc6d10fa4b87e0262
- https://github.com/tecnickcom/TCPDF/compare/6.6.2...6.7.4
- https://lists.debian.org/debian-lts-announce/2025/06/msg00004.html
Пакеты
Наименование
tecnickcom/tcpdf
composer
Затронутые версииВерсия исправления
< 6.7.4
6.7.4
EPSS
Процентиль: 38%
0.00166
Низкий
5.3 Medium
CVSS4
6.1 Medium
CVSS3
CVE ID
Дефекты
CWE-79
CWE-80
Связанные уязвимости
CVSS3: 6.1
ubuntu
почти 2 года назад
TCPDF before 6.7.4 mishandles calls that use HTML syntax.
CVSS3: 6.1
nvd
почти 2 года назад
TCPDF before 6.7.4 mishandles calls that use HTML syntax.
CVSS3: 6.1
debian
почти 2 года назад
TCPDF before 6.7.4 mishandles calls that use HTML syntax.
CVSS3: 6.1
fstec
почти 2 года назад
Уязвимость PHP-библиотеки TCPDF, связанная с непринятием мер по нейтрализации script-related тэгов HTML на веб-странице, позволяющая нарушителю проводить межсайтовые сценарные атаки (XSS)
EPSS
Процентиль: 38%
0.00166
Низкий
5.3 Medium
CVSS4
6.1 Medium
CVSS3
CVE ID
Дефекты
CWE-79
CWE-80