PDF Export Module used in DHTMLX's products Gantt and Scheduler is vulnerable to Path Traversal due to lack of HTML sanitization. An unauthenticated user could craft the html payload which could include
local files from the server and display them in the generated PDF.
This issue was fixed in PDF Export Module version 0.7.6.
CVE-2026-41552 is a path traversal vulnerability in DHTMLX's PDF Export Module affecting Gantt and Scheduler products, allowing unauthenticated users to include local server files in generated PDFs. The vulnerability stems from insufficient HTML sanitization and is resolved in version 0.7.6.
ثغرة اجتياز المسار في وحدة تصدير PDF من DHTMLX تسمح للمهاجمين غير المصرح لهم بحقن حمولات HTML ضارة تتضمن ملفات محلية من الخادم. يمكن للمهاجم استخراج ملفات حساسة مثل ملفات التكوين وبيانات قواعد البيانات والمفاتيح الخاصة من خلال ملفات PDF المُنشأة.
CVE-2026-41552 هو ثغرة اجتياز المسار في وحدة تصدير PDF من DHTMLX التي تؤثر على منتجات Gantt و Scheduler، مما يسمح للمستخدمين غير المصرح لهم بتضمين ملفات الخادم المحلية في ملفات PDF المُنشأة. يتم حل الثغرة في الإصدار 0.7.6.
Immediately upgrade DHTMLX PDF Export Module to version 0.7.6 or later. Implement input validation and HTML sanitization for all user-supplied content before PDF generation. Deploy Web Application Firewall (WAF) rules to detect and block path traversal attempts. Restrict file system access permissions for the application service account to minimize exposure of sensitive files.
قم بترقية وحدة تصدير PDF من DHTMLX إلى الإصدار 0.7.6 أو أحدث فوراً. طبق التحقق من صحة المدخلات وتنظيف HTML لجميع المحتوى المزود من قبل المستخدم قبل إنشاء PDF. نشر قواعد جدار حماية تطبيقات الويب (WAF) للكشف عن محاولات اجتياز المسار وحجبها. قيد صلاحيات الوصول إلى نظام الملفات لحساب خدمة التطبيق لتقليل تعرض الملفات الحساسة.