Un investigador de seguridad informática ha descubierto un error de seguridad crítico en TCPDF, una de las bibliotecas PHP más importantes para la creación de archivos PDF a partir de documentos HTML.
El investigador, apodado Polict, reveló a través de su blog que el fallo puede ser aprovechado por un hacker para ejecutar código de forma remota en sitios web y aplicaciones web que disponen del servicio de TCPDF, así como también controlar estos sistemas. Según ZDNet, la vulnerabilidad es básicamente una variación de un error descubierto por el experto en seguridad informática, Sam Thomas, de la firma Secarma Limited.
En 2018, Thomas detectó el error de deserialización que exponía las aplicaciones PHP, y posteriormente publicó un informe de investigación donde detalló los ataques contra las plataformas Typo3 CMS y WordPress, además de TCPDF.
La publicación de Polict afirma que el fallo puede ser explotado de dos formas. Una de ellas es a través de sitios web que permiten que los datos de los usuarios formen parte del proceso donde se generan los archivos PDF, como cuando se agregan números de facturas, nombres u otros datos. La segunda manera es a través de sitios web que incluyen bugs de secuencias de comandos entre sitios XSS, en los que un hacker puede inyectar malware dentro del código fuente HTML que posteriormente se enviará a TCPDF y se convertirá en un archivo PDF.
Según Polict, la clave detrás del ataque es suministrar información con el formato incorrecto a TCPDF. En definitiva, estos datos son modificados a un punto tal que propician que la biblioteca PHP llame al “phar: //”wrapper del servidor PHP, y posteriormente se aprovechan del procedimiento de serialización de PHP para ejecutar malware en el servidor subyacente.
Luego de que Thomas detectó la vulnerabilidad el año pasado, los administradores de TCPDF actualizaron la biblioteca a la versión 6.2.20, sin embargo, ZDNet afirma que los usuarios deben actualizarse a la versión 6.2.22 porque los desarrolladores introdujeron de forma accidental el error de Thomas al intentar lanzar el parche de seguridad del fallo notificado por Polict. En este sentido, la compañía reveló que con la versión 6.2.22 queda resuelto el problema.