TekCrispyTekCrispy
  • Ciencia
    • Historia
    • Perfiles
  • Tecnología
    • Software
    • Móviles
    • Herramientas Web
    • Redes Sociales
  • Cultura Digital
    • Cine y TV
    • Videojuegos
  • Análisis
Selección del Editor

Jouhatsu: ¿cómo cambiar de vida se puede hacer de manera legal?

May 22, 2022

Mary Lee Woods, una pionera de la programación que no tiene nada que envidiarle a la World Wide Web

May 21, 2022

Los perros pueden detectar el Covid-19 tan bien como una prueba PCR

May 20, 2022

Dominios falsos ofrecen instaladores de Windows 11, pero en su lugar entregan malware

May 20, 2022
Facebook Twitter Instagram TikTok Telegrama
TekCrispyTekCrispy
  • Ciencia

    Jouhatsu: ¿cómo cambiar de vida se puede hacer de manera legal?

    May 22, 2022

    Mary Lee Woods, una pionera de la programación que no tiene nada que envidiarle a la World Wide Web

    May 21, 2022

    Los perros pueden detectar el Covid-19 tan bien como una prueba PCR

    May 20, 2022

    ¿Qué es el carbono azul y por qué debería tener una hoja de ruta?

    May 20, 2022

    Insomnio en la mediana edad podría acarrear problemas cognitivos en la vejez

    May 20, 2022
  • Tecnología

    Mary Lee Woods, una pionera de la programación que no tiene nada que envidiarle a la World Wide Web

    May 21, 2022

    Dominios falsos ofrecen instaladores de Windows 11, pero en su lugar entregan malware

    May 20, 2022

    Aprende a usar tu iPhone como una máquina de ruido blanco

    May 20, 2022

    La crisis de habilidades está empeorando: los expertos en IA son escasos

    May 20, 2022

    Minijuegos HTML5 de TikTok: el gran impulso de los juegos que planea la plataforma

    May 20, 2022
  • Cultura Digital

    “The Mandalorian” y “Avatar 2”: la tecnología en el cine que solo busca conmovernos

    May 15, 2022

    ¿Cómo ganar vistas en YouTube en 2022?

    May 6, 2022

    Netflix implementa un impuesto de culpabilidad para quienes comparten contraseñas

    Mar 17, 2022

    Declarando, la gestoría 100% online que está revolucionando el sector

    Mar 11, 2022

    Científicos cuentan cómo los juegos de carreras desarrollan a los niños

    Mar 1, 2022
Facebook Twitter Instagram TikTok
TekCrispyTekCrispy
Seguridad

Detectan vulnerabilidad crítica en la popular biblioteca PHP ‘PCPDF’

Por Jorge QuijijeMar 19, 20192 minutos de lectura
Compartir
Facebook Twitter Email Telegrama WhatsApp

Un investigador de seguridad informática ha descubierto un error de seguridad crítico en TCPDF, una de las bibliotecas PHP más importantes para la creación de archivos PDF a partir de documentos HTML.

El investigador, apodado Polict, reveló a través de su blog que el fallo puede ser aprovechado por un hacker para ejecutar código de forma remota en sitios web y aplicaciones web que disponen del servicio de TCPDF, así como también controlar estos sistemas. Según ZDNet, la vulnerabilidad es básicamente una variación de un error descubierto por el experto en seguridad informática, Sam Thomas, de la firma Secarma Limited.

En 2018, Thomas detectó el error de deserialización que exponía las aplicaciones PHP, y posteriormente publicó un informe de investigación donde detalló los ataques contra las plataformas Typo3 CMS y WordPress, además de TCPDF.

La publicación de Polict afirma que el fallo puede ser explotado de dos formas. Una de ellas es a través de sitios web que permiten que los datos de los usuarios formen parte del proceso donde se generan los archivos PDF, como cuando se agregan números de facturas, nombres u otros datos. La segunda manera es a través de sitios web que incluyen bugs de secuencias de comandos entre sitios XSS, en los que un hacker puede inyectar malware dentro del código fuente HTML que posteriormente se enviará a TCPDF y se convertirá en un archivo PDF.

Según Polict, la clave detrás del ataque es suministrar información con el formato incorrecto a TCPDF. En definitiva, estos datos son modificados a un punto tal que propician que la biblioteca PHP llame al “phar: //”wrapper del servidor PHP, y posteriormente se aprovechan del procedimiento de serialización de PHP para ejecutar malware en el servidor subyacente.

Luego de que Thomas detectó la vulnerabilidad el año pasado, los administradores de TCPDF actualizaron la biblioteca a la versión 6.2.20, sin embargo, ZDNet afirma que los usuarios deben actualizarse a la versión 6.2.22 porque los desarrolladores introdujeron de forma accidental el error de Thomas al intentar lanzar el parche de seguridad del fallo notificado por Polict. En este sentido, la compañía reveló que con la versión 6.2.22 queda resuelto el problema.

Biblioteca PHP PDF PHP Vulnerabilidades

Artículos Relacionados

Empresas quedan expuestas a vulnerabilidades de seguridad en la nube por estos errores

Así puedes convertir una presentación en una web dinámica

¿Necesitas reparar archivos PDF que no abren? Aquí te enseñamos cómo

Añadir un comentario

Dejar una respuesta Cancelar respuesta

Selección del Editor

Estas son las imágenes del primer eclipse lunar de 2022

May 16, 2022

Madre alega que un desafío de TikTok llevó a su hija a la muerte

May 16, 2022

¿Los videojuegos aumentan la inteligencia de los niños?

May 16, 2022

Shirley Ann Jackson, inventora del identificador de llamadas

May 7, 2022
Síguenos en las redes
  • Facebook
  • Twitter
  • Instagram
  • TikTok
Facebook Twitter Instagram LinkedIn TikTok
  • Publicidad
  • Contacto
  • Política de Privacidad
  • Acerca de TekCrispy
© 2022 CRISPYMEDIA LLC. DERECHOS RESERVADOS.

Escriba arriba y pulse Enter para buscar. Pulse Esc para cancelar.