Linux Distros 未修补的漏洞:CVE-2023-50262
high Nessus 插件 ID 226892
语言:
简介
Linux/Unix 主机上安装的一个或多个程序包存在漏洞,但供应商表示不会修补此漏洞。描述
Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响,而供应商没有提供补丁程序。- Dompdf 是用于 PHP 的 HTML 到 PDF 转换器。解析 SVG 图像时Dompdf 执行初始验证以确保允许 SVG 中的路径。其中一项验证是 SVG 文档未引用自身。但是在低于版本 2.0.4的版本中未正确验证使用两个或更多 SVG 文档的递归链接。根据系统配置和攻击模式这可能耗尽执行中的进程和/或服务器本身的可用内存。单独运行时php-svg-lib 不支持“image”元素的 SVG 引用。但是当与 Dompdf 结合使用时php-svg-lib 将处理“image”元素引用的 SVG 图像。Dompdf 当前包含验证以防止自引用的“image”引用,但未检查链接的引用。因此恶意执行者可通过两个或更多 SVG 图像之间的链接引用触发无限递归。Dompdf 解析恶意负载时会由于在超出允许的执行时间或内存使用量之后发生崩溃。攻击者向系统发送多个请求可能会造成资源耗尽导致系统无法处理传入请求。2.0.4 版包含针对此问题的补丁。
(CVE-2023-50262)
请注意,Nessus 依赖供应商报告的程序包是否存在进行判断。
解决方案
目前尚未有任何已知的解决方案。另见
插件详情
严重性: High
ID: 226892
文件名: unpatched_CVE_2023_50262.nasl
版本: 1.3
类型: local
代理: unix
系列: Misc.
发布时间: 2025/3/5
最近更新时间: 2025/8/31
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 4.4
CVSS v2
风险因素: Medium
基本分数: 4.3
时间分数: 3.4
矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:P
CVSS 分数来源: CVE-2023-50262
CVSS v3
风险因素: High
基本分数: 7.5
时间分数: 6.7
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:debian:debian_linux:php-dompdf, cpe:/o:debian:debian_linux:11.0, cpe:/o:debian:debian_linux:12.0
必需的 KB 项: Host/local_checks_enabled, Host/cpu, global_settings/vendor_unpatched, Host/OS/identifier
可利用: true
易利用性: Exploits are available
漏洞发布日期: 2023/12/13
参考资料信息
CVE: CVE-2023-50262