pypdf — это бесплатная PDF-библиотека на чистом Python с открытым исходным кодом. До версии 6.8.0 злоумышленник, использующий эту уязвимость, мог создать PDF-файл, что приводило к значительному использованию памяти. Для этого требуется проанализировать поток контента с довольно большим значением /Length, независимо от фактической длины данных внутри потока.
Эта уязвимость исправлена в версии 6.8.0.
Показать оригинальное описание (EN)
pypdf is a free and open-source pure-python PDF library. Prior to 6.8.0, an attacker who uses this vulnerability can craft a PDF which leads to large memory usage. This requires parsing a content stream with a rather large /Length value, regardless of the actual data length inside the stream. This vulnerability is fixed in 6.8.0.
Характеристики атаки
Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Пассивное
Минимальное взаимодействие
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v4.0