pypdf — это бесплатная PDF-библиотека на чистом Python с открытым исходным кодом. В версиях до 6.10.0 манипулируемые объявления объектов метаданных XMP могут исчерпать оперативную память. Злоумышленник, воспользовавшийся этой уязвимостью, может создать PDF-файл, что приведет к значительному использованию памяти.
Для этого требуется анализ метаданных XMP. Эта проблема исправлена в версии 6.10.0.
Показать оригинальное описание (EN)
pypdf is a free and open-source pure-python PDF library. In versions prior to 6.10.0, manipulated XMP metadata entity declarations can exhaust RAM. An attacker who exploits this vulnerability can craft a PDF which leads to large memory usage. This requires parsing the XMP metadata. This issue has been fixed in version 6.10.0.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Низкое
Частичное нарушение работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 4
https://github.com/py-pdf/pypdf/commit/b15a374e5ca648d4878e57c3b2c0551e7f8cc7f8
security-advisories@github.com
https://github.com/py-pdf/pypdf/pull/3724
security-advisories@github.com
https://github.com/py-pdf/pypdf/releases/tag/6.10.0
security-advisories@github.com
https://github.com/py-pdf/pypdf/security/advisories/GHSA-3crg-w4f6-42mx
security-advisories@github.com