Vulnerabilidad en registerFont en el archivo FontMetrics.php en en Dompdf (CVE-2022-41343)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
25/09/2022
Última modificación:
22/05/2025
Descripción
registerFont en el archivo FontMetrics.php en Dompdf versiones anteriores a 2.0.1, permite la inclusión remota de archivos porque un fallo de comprobación de URI no detiene el registro de la fuente, como es demostrado con una regla @font-face.<br />
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:dompdf_project:dompdf:*:*:*:*:*:*:*:* | 2.0.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/dompdf/dompdf/issues/2994
- https://github.com/dompdf/dompdf/pull/2995
- https://github.com/dompdf/dompdf/releases/tag/v2.0.1
- https://tantosec.com/blog/cve-2022-41343/
- https://github.com/dompdf/dompdf/issues/2994
- https://github.com/dompdf/dompdf/pull/2995
- https://github.com/dompdf/dompdf/releases/tag/v2.0.1
- https://tantosec.com/blog/cve-2022-41343/
- https://tantosec.com/blog/cve-2022-41343/