CVE-2022-28368 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Dompdf 存在 **跨站脚本 (XSS)** 漏洞。 💥 **后果**：攻击者可通过 CSS `@font-face` 的 `src:url` 字段注入恶意 `.php` 文件，最终导致 **远程代码执行 (RCE)**。

🔍 **缺陷点**：输入验证缺失。 ⚠️ **CWE**：数据中未提供具体 CWE ID，但核心在于未过滤 CSS 中的恶意字体路径。

📦 **组件**：**Dompdf** (HTML 转 PDF 转换器)。 📉 **版本**：**< 1.2.1** 的版本均受影响。

🕵️ **权限**：远程代码执行 (RCE)。 📂 **数据**：攻击者可上传恶意字体文件（伪装成 .php），并在 Web 服务器上直接执行，完全控制服务器。

🚪 **门槛**：**低**。 🔑 **认证**：无需认证，远程利用。 ⚙️ **配置**：利用 CSS 注入 trick，通过字体缓存机制实现。

💣 **Exp**：**有**。 🔗 **PoC**：GitHub 上有多个现成脚本（如 `CVE-2022-28368`），甚至包含 Python 自动化处理脚本，利用门槛极低。

🔎 **自查**：检查系统中是否使用 Dompdf 且版本 **< 1.2.1**。 📝 **特征**：关注 PDF 生成模块中是否允许自定义 CSS 字体路径。

🛡️ **补丁**：**已修复**。 ✅ **方案**：升级 Dompdf 至 **1.2.1** 或更高版本。参考 GitHub PR #2808。

🚧 **临时规避**：若无法升级，需严格过滤 CSS 中的 `@font-face` `src:url` 字段。 🚫 **禁止**：阻止任何非字体格式（如 .php, .html）的文件被缓存或执行。

🔥 **优先级**：**极高 (Critical)**。 ⚡ **理由**：RCE 漏洞 + 现成 Exp + 无需认证。建议 **立即** 升级或实施缓解措施。