Pdfminer.six — это поддерживаемая сообществом версия оригинального PDFMiner, инструмента для извлечения информации из PDF-документов. До версии 20251107 pdfminer.six будет выполнять произвольный код из вредоносного файла Pickle, если он предоставлен вместе с вредоносным PDF-файлом. Функция CMapDB._load_data() в pdfminer.six использует Pickle.loads() для десериализации файлов Pickle.
Предполагается, что эти файлы Pickle являются частью дистрибутива pdfminer.six, хранящегося в каталоге `cmap/`, но вредоносный PDF-файл может указать альтернативный каталог и имя файла, если имя файла заканчивается на `.pickle.gz`. Вредоносный заархивированный файл Pickle может содержать код, который будет автоматически выполняться при обработке PDF-файла. Версия 20251107 устраняет проблему.
Показать оригинальное описание (EN)
Pdfminer.six is a community maintained fork of the original PDFMiner, a tool for extracting information from PDF documents. Prior to version 20251107, pdfminer.six will execute arbitrary code from a malicious pickle file if provided with a malicious PDF file. The `CMapDB._load_data()` function in pdfminer.six uses `pickle.loads()` to deserialize pickle files. These pickle files are supposed to be part of the pdfminer.six distribution stored in the `cmap/` directory, but a malicious PDF can specify an alternative directory and filename as long as the filename ends in `.pickle.gz`. A malicious, zipped pickle file can then contain code which will automatically execute when the PDF is processed. Version 20251107 fixes the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Pdfminer Pdfminer.Six
cpe:2.3:a:pdfminer:pdfminer.six:*:*:*:*:*:*:*:*
|
— |
2025-11-07
|
|
Debian Debian_Linux
cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:*
|
— | — |