pypdf — это бесплатная PDF-библиотека на чистом Python с открытым исходным кодом. До версии 6.7.5 злоумышленник, использующий эту уязвимость, мог создать PDF-файл, что приводило к увеличению времени его выполнения. Для этого требуется доступ к потоку, использующему фильтр /ASCIIHexDecode.
Эта проблема исправлена в версии 6.7.5.
Показать оригинальное описание (EN)
pypdf is a free and open-source pure-python PDF library. Prior to version 6.7.5, an attacker who uses this vulnerability can craft a PDF which leads to long runtimes. This requires accessing a stream which uses the /ASCIIHexDecode filter. This issue has been patched in version 6.7.5.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Низкое
Частичное нарушение работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 4
https://github.com/py-pdf/pypdf/commit/648c627d2657447dfb1773412af05a0a5103b98f
security-advisories@github.com
https://github.com/py-pdf/pypdf/pull/3666
security-advisories@github.com
https://github.com/py-pdf/pypdf/releases/tag/6.7.5
security-advisories@github.com
https://github.com/py-pdf/pypdf/security/advisories/GHSA-9m86-7pmv-2852
security-advisories@github.com