漏洞概述 PDF Signer 3.0 存在一个服务器端模板注入漏洞,允许未认证的攻击者通过 CSRF 令牌 cookie 参数注入 PHP 命令,从而执行任意代码。攻击者可以构造包含模板注入有效载荷的恶意 cookie 值,使用 执行系统命令并检索服务器上的敏感信息。 影响范围 受影响版本:PDF Signer <= 3.0 严重性:CRITICAL 发布日期:6/4/2026 CVE 编号:CVE-2019-25729 CWE 编号:CWE-352 Cross-Site Request Forgery (CSRF) CVSS 评分:9.3 CVSS V4 向量:CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 修复方案 页面中未提供具体的修复方案。建议用户尽快更新 PDF Signer 至最新版本,并检查服务器配置,确保没有未授权访问和恶意代码注入的风险。 参考链接 ExploitDB-46276 Official Product Homepage Product Reference 贡献者 dd_ (info@malicious.group) --- 页面其他信息 VulnCheck 平台:提供漏洞情报和威胁情报,帮助组织优先处理和修复关键漏洞。 功能特点: - Vulnerability Prioritization:根据威胁景观优先处理重要漏洞,忽略不重要的漏洞。 - Early Warning System:实时监控漏洞景观变化,提前采取行动。 --- 页脚信息 VulnCheck 简介:帮助组织通过预测攻击途径,以速度和准确性超越对手。 产品与服务: - 漏洞与威胁情报 - 初始访问情报 - 金丝雀情报 - 目标情报 - 政府情报 资源: - 资源中心 - 文档 - API - 开源与工具 - 变更日志 - 术语表 - 联系支持 社区: - VulnCheck KEV - NVD++ - VulnCheck 漏洞数据库 (KDB) - 知识库 - 报告漏洞 公司: - 博客 - 新闻与奖项 - 新闻稿 - 活动 - THREATCON1 播客 - VulnCheck 公告 - 关于 VulnCheck - 职业机会 合作伙伴: - 成为合作伙伴 - 注册交易 - 现有合作伙伴 法律: - 隐私政策 - 条款与条件 - 漏洞披露政策 - 服务条款 --- 总结 PDF Signer 3.0 存在严重的服务器端模板注入漏洞,攻击者可通过 CSRF 令牌 cookie 参数执行任意代码。建议尽快更新软件并加强安全措施。