pypdf — это бесплатная PDF-библиотека на чистом Python с открытым исходным кодом. В версиях до 6.9.2 имеется уязвимость, позволяющая злоумышленнику создать PDF-файл, что приводит к бесконечному циклу. Для этого требуется чтение файла в нестрогом режиме.
Это исправлено в pypdf 6.9.2. Если пользователи еще не могут выполнить обновление, рассмотрите возможность применения изменений из исправления вручную.
Показать оригинальное описание (EN)
pypdf is a free and open-source pure-python PDF library. Versions prior to 6.9.2 have a vulnerability in which an attacker can craft a PDF which leads to an infinite loop. This requires reading a file in non-strict mode. This has been fixed in pypdf 6.9.2. If users cannot upgrade yet, consider applying the changes from the patch manually.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Требуются
Нужны дополнительные условия
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v4.0