CRITICAL🇬🇧 English

CVE-2024-56521

TCPDF: Nieprawidłowa weryfikacja certyfikatów SSL przy użyciu libcurl

CVSS 9.8v3.1pub. 2024-12-27upd. 2025-04-21

Biblioteka TCPDF przed wersją 6.8.0 nieprawidłowo konfiguruje opcje weryfikacji certyfikatów SSL (CURLOPT_SSL_VERIFYHOST oraz CURLOPT_SSL_VERIFYPEER) podczas korzystania z libcurl. Podatność umożliwia ataki typu man-in-the-middle, co stanowi poważne zagrożenie dla poufności i integralności przesyłanych danych.

Pokaż oryginał (EN)

An issue was discovered in TCPDF before 6.8.0. If libcurl is used, CURLOPT_SSL_VERIFYHOST and CURLOPT_SSL_VERIFYPEER are set unsafely.

🤖 Analiza AI
Jak działa

Gdy TCPDF wykonuje żądania sieciowe za pośrednictwem libcurl, opcje CURLOPT_SSL_VERIFYHOST i CURLOPT_SSL_VERIFYPEER są ustawiane w sposób niezabezpieczony — efektywnie wyłączając weryfikację tożsamości serwera i autentyczności jego certyfikatu SSL/TLS. Atakujący może w takiej sytuacji podstawić fałszywy serwer z nieautoryzowanym certyfikatem, a biblioteka zaakceptuje połączenie bez ostrzeżenia. Pozwala to na przechwytywanie oraz modyfikowanie ruchu sieciowego między aplikacją korzystającą z TCPDF a serwerem docelowym.

Skutki

Atakujący może przeprowadzić atak man-in-the-middle, przechwytując lub modyfikując dane przesyłane przez TCPDF, co prowadzi do naruszenia poufności, integralności oraz potencjalnie dostępności przetwarzanych informacji.

Mitygacja

Należy zaktualizować TCPDF do wersji 6.8.0 lub nowszej, w której wprowadzono poprawkę prawidłowo konfigurującą opcje CURLOPT_SSL_VERIFYHOST i CURLOPT_SSL_VERIFYPEER. Poprawka dostępna jest w repozytorium projektu (commit aab43ab0a824e956276141a28a24c7c0be20f554).

Kogo dotyczy

TCPDF (Tcpdf Project) we wszystkich wersjach przed 6.8.0, gdy aplikacja korzysta z libcurl do realizacji połączeń sieciowych.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Tcpdf Project Tcpdf

    APP
    Tcpdf Project
    < 6.8.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-56519HIGH7.5ten sam produkt

An issue was discovered in TCPDF before 6.8.0. setSVGStyles does not sanitize the SVG font-family attribute.

CVE-2024-56527HIGH7.5ten sam produkt

An issue was discovered in TCPDF before 6.8.0. The Error function lacks an htmlspecialchars call for the error...

CVE-2024-56522HIGH7.5ten sam produkt

An issue was discovered in TCPDF before 6.8.0. unserializeTCPDFtag uses != (aka loose comparison) and does not...

CVE-2024-22641HIGH7.5ten sam produkt

TCPDF version 6.6.5 and before is vulnerable to ReDoS (Regular Expression Denial of Service) if parsing an unt...

CVE-2024-22640HIGH7.5ten sam produkt

TCPDF version <=6.6.5 is vulnerable to ReDoS (Regular Expression Denial of Service) if parsing an untrusted HT...

CVE-2024-56521 — TCPDF: Nieprawidłowa weryfikacja certyfikatów SSL przy użyciu libcurl — CRITICAL 9.8 | CVEbaza.pl