Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en registerFont en el archivo FontMetrics.php en en Dompdf (CVE-2022-41343)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
25/09/2022
Última modificación:
22/05/2025

Descripción

registerFont en el archivo FontMetrics.php en Dompdf versiones anteriores a 2.0.1, permite la inclusión remota de archivos porque un fallo de comprobación de URI no detiene el registro de la fuente, como es demostrado con una regla @font-face.<br />

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:dompdf_project:dompdf:*:*:*:*:*:*:*:* 2.0.1 (excluyendo)