pypdf — это бесплатная PDF-библиотека на чистом Python с открытым исходным кодом. До версии 6.1.3 злоумышленник, использующий эту уязвимость, мог создать PDF-файл, что приводило к значительному использованию памяти. Для этого требуется проанализировать поток контента страницы с помощью фильтра LZWDecode.
Это исправлено в pypdf версии 6.1.3.
Показать оригинальное описание (EN)
pypdf is a free and open-source pure-python PDF library. Prior to version 6.1.3, an attacker who uses this vulnerability can craft a PDF which leads to large memory usage. This requires parsing the content stream of a page using the LZWDecode filter. This has been fixed in pypdf version 6.1.3.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Pypdf_Project Pypdf
cpe:2.3:a:pypdf_project:pypdf:*:*:*:*:*:*:*:*
|
— |
6.1.3
|
Ссылки 4
https://github.com/py-pdf/pypdf/commit/e51d07807ffcdaf18077b9486dadb3dc05b368da
security-advisories@github.com
https://github.com/py-pdf/pypdf/pull/3502
security-advisories@github.com
https://github.com/py-pdf/pypdf/releases/tag/6.1.3
security-advisories@github.com
https://github.com/py-pdf/pypdf/security/advisories/GHSA-jfx9-29x2-rv3j
security-advisories@github.com