pontedilana/php-weasyprint <= 2.5.1: falha de segurança permite exclusão arbitrária de arquivos

Um advisory de segurança foi publicado para pontedilana/php-weasyprint versões <= 2.5.1. O array público $temporaryFiles em AbstractGenerator permite exclusão arbitrária de arquivos no encerramento do script, pois removeTemporaryFiles() não verifica se os caminhos estão dentro da pasta temporária. Corrigido na versão 2.6.0.

Todos os usuários de pontedilana/php-weasyprint versões <= 2.5.1. A vulnerabilidade é explorável se um atacante puder influenciar a propriedade $temporaryFiles, por exemplo, via desserialização ou gadgets orientados a propriedades.

Atualize para a versão 2.6.0 ou superior para aplicar a correção que restringe a exclusão de arquivos a caminhos dentro da pasta temporária.