Уязвимость подделки запросов на стороне сервера (SSRF) в pdfmake версий 0.3.0-beta.2–0.3.5 позволяет удаленному злоумышленнику получить конфиденциальную информацию через компонент src/URLResolver.js. Исправление было выпущено в версии 0.3.6, в которой представлен метод setUrlAccessPolicy(), позволяющий операторам сервера определять правила доступа по URL-адресам. Предупреждение теперь регистрируется, когда pdfmake используется на стороне сервера без настроенной политики.
Показать оригинальное описание (EN)
Server-Side Request Forgery (SSRF) vulnerability in pdfmake versions 0.3.0-beta.2 through 0.3.5 allows a remote attacker to obtain sensitive information via the src/URLResolver.js component. The fix was released in version 0.3.6 which introduces the setUrlAccessPolicy() method allowing server operators to define URL access rules. A warning is now logged when pdfmake is used server-side without a policy configured.
Характеристики атаки
Последствия
Строка CVSS v3.1