O snappy facilita a criação de thumbnails, snapshots e PDF's a partir de URL's e páginas HTML, baseando-se em utilidades webkit como o wkhtmltopdf e wkhtmltoimage
A falha representada pelo CVE-2023-28115 permitia execução de código remota através de PHP deserialization, com o wrapper "phar://".
Versões afetadas
- Antes da 1.4.2
Solução
- Atualizar para a versão 1.4.3
Workaround
Restringir o que pode ser passado para a função"AbstractGenerator->generate(…)".
Mais informações: https://github.com/KnpLabs/snappy/security/advisories/GHSA-92rv-4j2h-8mjj
Comentários