支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2022-50897 基础信息
漏洞信息
                                        # mPDF 7.0 本地文件包含漏洞

N/A
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
mPDF 7.0 - Local File Inclusion
来源:美国国家漏洞数据库 NVD
漏洞描述信息
mPDF 7.0 contains a local file inclusion vulnerability that allows attackers to read arbitrary system files by manipulating annotation file parameters. Attackers can generate URL-encoded or base64 payloads to include local files through crafted annotation content with file path specifications.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
PHP程序中Include/Require语句包含文件控制不恰当(PHP远程文件包含)
来源:美国国家漏洞数据库 NVD
漏洞标题
mPDF 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
mPDF是mPDF开源的一款使用PHP编写的用于将HTML转换成PDF文件的库。 mPDF 7.0版本存在安全漏洞,该漏洞源于注释文件参数存在本地文件包含漏洞,可能导致读取任意系统文件。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2022-50897 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2022-50897 的情报信息

  • 标题: mPDF 7.0 - Local File Inclusion - PHP webapps Exploit -- 🔗来源链接

    标签:exploit

    神龙速读:
                                            - **Edb-ID:** 50995
- **CVE:** N/A
- **Author:** MUSYOKA IAN
- **Type:** WEBAPPS
- **Platform:** PHP
- **Date:** 2022-08-01
- **Vulnerable App:** mPDF 7.0
- **Exploit Details:**
  - Local File Inclusion vulnerability in mPDF 7.0.
  - Exploit code provided for testing local file inclusion on a target system.
  - Payload generation script for creating malicious annotation files.
    mPDF 7.0 - Local File Inclusion - PHP webapps Exploit

  • 标题: mPDF – mPDF Manual -- 🔗来源链接

    标签:product

    神龙速读:
                                            ## 关键漏洞信息

- **用户输入处理**
  - mPDF 不直接处理外部用户的 HTML/CSS 输入。
  - 所有传递给 mPDF 的用户输入应经过严格验证和净化,超出标准浏览器级净化(如 `htmlspecialchars`)的水平。

- **开发状态和安全性**
  - mPDF 作为一个整体是一个相当过时的软件,支持可能会逐渐减少。
  - 已不再支持无PHP方案或现代CSS特性,这可能引发兼容性和安全性问题。
    mPDF – mPDF Manual

  • 标题: mPDF 7.0 - Local File Inclusion | Advisories | VulnCheck -- 🔗来源链接

    标签:third-party-advisory

    神龙速读:
                                            ### 漏洞关键信息

- **标题**: mPDF 7.0 - Local File Inclusion
- **严重性**: HIGH
- **日期**: January 13, 2026
- **影响范围**: mPDF 7.0
- **CVE**: CVE-2022-50897
- **CWE**: CWE-98 Improper Control of Filename for Include/Require Statement in PHP Program ('PHP Remote File Inclusion')
- **CVSS评分**: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
- **参考资料**:
  - ExploitDB-50995
  - Official mPDF Project Homepage
- **发现者**: Musyoka Ian
- **描述**: mPDF 7.0 contains a local file inclusion vulnerability that allows attackers to read arbitrary system files by manipulating annotation file parameters. Attackers can generate URL-encoded or base64 payloads to include local files through crafted annotation content with file path specifications.
    mPDF 7.0 - Local File Inclusion | Advisories | VulnCheck
  • https://nvd.nist.gov/vuln/detail/CVE-2022-50897
四、漏洞 CVE-2022-50897 的评论
匿名用户
2026-01-15 06:09:08

Zaproxy alias impedit expedita quisquam pariatur exercitationem. Nemo rerum eveniet dolores rem quia dignissimos.

发表评论