Описание
TCPDF missing character escape on error messages
An issue was discovered in TCPDF before 6.8.0. The Error function lacks an htmlspecialchars call for the error message.
Ссылки
- https://nvd.nist.gov/vuln/detail/CVE-2024-56527
- https://github.com/tecnickcom/TCPDF/commit/11778aaa2d9e30a9ae1c1ee97ff349344f0ad6e1
- https://andrea0.medium.com/analysis-of-cve-2024-56527-dbdab6962add
- https://github.com/tecnickcom/TCPDF/compare/6.7.8...6.8.0
- https://lists.debian.org/debian-lts-announce/2025/06/msg00004.html
- https://tcpdf.org
Пакеты
Наименование
tecnickcom/tcpdf
composer
Затронутые версииВерсия исправления
< 6.8.0
6.8.0
Связанные уязвимости
CVSS3: 7.5
ubuntu
около 1 года назад
An issue was discovered in TCPDF before 6.8.0. The Error function lacks an htmlspecialchars call for the error message.
CVSS3: 7.5
nvd
около 1 года назад
An issue was discovered in TCPDF before 6.8.0. The Error function lacks an htmlspecialchars call for the error message.
CVSS3: 7.5
debian
около 1 года назад
An issue was discovered in TCPDF before 6.8.0. The Error function lack ...
CVSS3: 7.5
fstec
около 1 года назад
Уязвимость PHP-библиотеки TCPDF, связанная с неправильной нейтрализацией входных данных во время генерации веб-страницы, позволяющая нарушителю выполнить произвольный код
