Introduction to PDF Generation Vulnerabilities

Les applications web offrent souvent une fonctionnalité de génération de PDF pour des documents tels que des factures et des rapports, intégrant des entrées utilisateur dynamiques. Cela expose à des vulnérabilités de sécurité, principalement dues à l'injection HTML causée par des erreurs de configuration et des versions obsolètes des bibliothèques utilisées.

Les bibliothèques couramment employées incluent :

• TCPDF

• html2pdf

• mPDF

• DomPDF

• PDFKit

• wkhtmltopdf

• PD4ML

Ces bibliothèques acceptent le code HTML pour concevoir le PDF final. Des outils comme exiftool et pdfinfo peuvent aider à identifier la bibliothèque utilisée pour générer un PDF en analysant les métadonnées.

Exemple :