70 milhões de dispositivos vulneráveis ​​devido a falhas lógicas que expõem redes internas – Against Invaders

70 milhões de dispositivos vulneráveis ​​devido a falhas lógicas que expõem redes internas - Against Invaders

Uma falha lógica crítica descoberta na biblioteca PHP mPDF, amplamente utilizada, poderia expor redes internas e serviços confidenciais em aproximadamente 70 milhões de dispositivos em todo o mundo.

A vulnerabilidade decorre da análise inadequada de expressões regulares, que permite que invasores emitam solicitações da Web não autorizadas, mesmo quando a entrada do usuário parece limpa.

mPDF, um código aberto PHP biblioteca para geração de PDFs a partir de HTML, contém uma vulnerabilidade perigosa em sua análise CSS.

A biblioteca processa regras CSS @import sem validar adequadamente sua localização no documento HTML.

Esse descuido significa que os invasores podem criar entradas maliciosas que ignoram funções de sanitização padrão, como htmlentities() e htmlspecialchars().

A vulnerabilidade permite que invasores iniciem falsificação de solicitação no lado do servidor (SSRF) ataca e investiga redes internas.

Ao injetar diretivas @import especialmente criadas, um invasor pode forçar o servidor vulnerável a fazer solicitações a serviços internos, incluindo Redis, MySQL e outros aplicativos acessíveis pela rede.

A falha é particularmente perigosa porque funciona mesmo quando os desenvolvedores implementam o que acreditam ser uma higienização segura de entradas.

O pesquisador de segurança brun0ne descobriu a falha e demonstrou que os invasores poderiam explorar o protocolo Gopher suportado pelo cURL, que o mPDF usa para fazer solicitações da web e enviar dados TCP arbitrários para serviços internos.

Isso permite a verificação de portas de redes locais e a gravação de arquivos potencialmente arbitrários por meio de serviços como o Redis.

O pesquisador forneceu um código de prova de conceito mostrando como o ataque poderia ser executado em um cenário do mundo real.

O descobridor relatado a vulnerabilidade aos mantenedores do mPDF em maio de 2025 e solicitou um identificador CVE no final de maio.

No entanto, a organização MITRE CVE rejeitou o pedido em outubro, argumentando que a falha constitui um comportamento intencional e não uma vulnerabilidade.

A rejeição alegou que os usuários do mPDF são responsáveis ​​por implementar sua própria higienização, e não os desenvolvedores da biblioteca.

Apesar da falta de uma designação oficial de CVE, as implicações permanecem graves. Qualquer aplicativo que use mPDF para processar entradas controladas pelo usuário está vulnerável a comprometimentos.

As organizações que atualmente usam o mPDF devem implementar validação de entrada adicional bloqueando caracteres especiais, incluindo@,(,),:,/, ou considerar a migração para soluções alternativas de geração de PDF com proteções de segurança mais fortes.

A vulnerabilidade destaca uma lacuna crítica entre as expectativas dos desenvolvedores de bibliotecas e as práticas de segurança do mundo real.

Embora a equipe do mPDF afirme que os aplicativos que usam sua biblioteca devem implementar a higienização de entrada adequada, a demonstração prova que as funções padrão de higienização do PHP são insuficientes contra essa falha lógica específica.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial em Google.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.