pypdf — это бесплатная PDF-библиотека на чистом Python с открытым исходным кодом. До версии 6.7.3 злоумышленник, использующий эту уязвимость, мог создать PDF-файл, что приводило к исчерпанию оперативной памяти. Для этого требуется доступ к свойству xfa устройства чтения или записи и сжатие соответствующего потока с помощью /FlateDecode.
Это исправлено в pypdf 6.7.3. В качестве обходного пути примените патч вручную.
Показать оригинальное описание (EN)
pypdf is a free and open-source pure-python PDF library. Prior to 6.7.3, an attacker who uses this vulnerability can craft a PDF which leads to the RAM being exhausted. This requires accessing the `xfa` property of a reader or writer and the corresponding stream being compressed using `/FlateDecode`. This has been fixed in pypdf 6.7.3. As a workaround, apply the patch manually.
Характеристики атаки
Последствия
Строка CVSS v4.0