pypdf — это бесплатная PDF-библиотека на чистом Python с открытым исходным кодом. До версии 6.6.0 pypdf имел возможное длительное время выполнения для отсутствующего объекта /Root с большими значениями /Size. Злоумышленник, воспользовавшийся этой уязвимостью, может создать PDF-файл, что может привести к длительному времени выполнения действительно недействительных файлов.
Этого можно добиться, опустив запись /Root в трейлере, используя при этом довольно большое значение /Size. Затрагивается только нестрогий режим чтения. Эта проблема исправлена в версии 6.6.0.
Показать оригинальное описание (EN)
pypdf is a free and open-source pure-python PDF library. Prior to version 6.6.0, pypdf has possible long runtimes for missing /Root object with large /Size values. An attacker who uses this vulnerability can craft a PDF which leads to possibly long runtimes for actually invalid files. This can be achieved by omitting the /Root entry in the trailer, while using a rather large /Size value. Only the non-strict reading mode is affected. This issue has been patched in version 6.6.0.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Pypdf_Project Pypdf
cpe:2.3:a:pypdf_project:pypdf:*:*:*:*:*:*:*:*
|
— |
6.6.0
|