Yaygın olarak kullanılan mPDF PHP kütüphanesinde keşfedilen kritik bir mantık hatası, dünya çapında yaklaşık 70 milyon cihazdaki dahili ağları ve hassas hizmetleri açığa çıkarabilir.
Güvenlik açığı, kullanıcı girişi temizlenmiş gibi görünse bile saldırganların yetkisiz web istekleri göndermesine olanak tanıyan uygunsuz düzenli ifade ayrıştırmasından kaynaklanmaktadır.
HTML’den PDF oluşturmaya yönelik açık kaynaklı bir PHP kitaplığı olan mPDF, CSS ayrıştırmasında tehlikeli bir güvenlik açığı içerir.
@import tüzükKitaplık, @import CSS kurallarını, HTML belgesindeki konumlarını doğru şekilde doğrulamadan işler.
Bu gözetim, saldırganların htmlentities() ve htmlspecialchars() gibi standart temizleme işlevlerini atlayan kötü amaçlı girdiler oluşturabileceği anlamına gelir.
Güvenlik açığı, saldırganların Sunucu Tarafı İstek Sahteciliği (SSRF) saldırıları başlatmasına ve dahili ağları incelemesine olanak tanır.
Saldırgan, özel hazırlanmış @import yönergelerini enjekte ederek, güvenlik açığı bulunan sunucuyu Redis, MySQL ve ağ üzerinden erişilebilen diğer uygulamalar da dahil olmak üzere dahili hizmetlere istekte bulunmaya zorlayabilir.
Bu kusur özellikle tehlikelidir çünkü geliştiriciler güvenli giriş temizleme olduğuna inandıkları şeyi uyguladıklarında bile işe yarar.
Güvenlik araştırmacısı brun0ne kusuru keşfetti ve saldırganların, mPDF’nin web istekleri yapmak ve dahili hizmetlere rastgele TCP verileri göndermek için kullandığı cURL tarafından desteklenen Gopher protokolünden yararlanabileceğini gösterdi.
Bu, yerel ağların bağlantı noktası taramasını ve Redis gibi hizmetler aracılığıyla potansiyel olarak rastgele dosya yazmayı mümkün kılar.
Araştırmacı, saldırının gerçek dünya senaryosunda nasıl gerçekleştirilebileceğini gösteren kavram kanıtı kodu sağladı.
Keşif, Mayıs 2025’te mPDF’nin bakımcılarına güvenlik açığını bildirdi ve Mayıs ayı sonlarında bir CVE tanımlayıcısı talep etti.
Ancak MITRE CVE kuruluşu, kusurun bir güvenlik açığından ziyade amaçlanan davranış teşkil ettiğini ileri sürerek Ekim ayında talebi reddetti.
Reddetmede, kütüphane geliştiricilerinin değil, mPDF kullanıcılarının kendi temizleme işlemlerini uygulamaktan sorumlu olduğu iddia edildi.
Resmi bir CVE tanımı olmamasına rağmen, sonuçları ciddi olmaya devam ediyor. Kullanıcı tarafından kontrol edilen girişi işlemek için mPDF kullanan herhangi bir uygulama, risklere karşı savunmasızdır.
Şu anda mPDF kullanan kuruluşlar, @, (, ),:, / gibi özel karakterleri engelleyerek ek giriş doğrulaması uygulamalı veya daha güçlü güvenlik korumalarına sahip alternatif PDF oluşturma çözümlerine geçmeyi düşünmelidir.
Güvenlik açığı, kütüphane geliştiricilerinin beklentileri ile gerçek dünyadaki güvenlik uygulamaları arasındaki kritik boşluğu vurguluyor.
mPDF ekibi, kitaplıklarını kullanan uygulamaların uygun girdi temizleme uygulaması yapması gerektiğini savunurken, gösteri, standart PHP temizleme işlevlerinin bu belirli mantık hatasına karşı yetersiz olduğunu kanıtlıyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak olarak ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.