CVE-2026-22691：py-pdf pypdf 中的低效正则表达式复杂性漏洞

严重性：低 类型：漏洞

CVE-2026-22691

pypdf 是一个免费开源的纯 Python PDF 库。在 6.6.0 版本之前，pypdf 在处理畸形的 startxref（交叉引用表起始位置标记）时可能存在长时间运行的问题。攻击者利用此漏洞可以制作一个 PDF 文件，导致在处理无效的 startxref 条目时可能运行时间过长。当重建交叉引用表时，包含大量空白字符的 PDF 文件会变得棘手。仅非严格读取模式受影响。 此问题已在 6.6.0 版本中修复。

技术摘要

CVE-2026-22691 是在纯 Python PDF 处理库 py-pdf pypdf 中发现的一个漏洞。该缺陷源于在重建 PDF 文件的交叉引用表时，对畸形 startxref 条目的低效处理。具体来说，在非严格读取模式下运行时，库用于解析 startxref 部分的正则表达式在遇到包含大量空白字符的 PDF 时，会表现出过度的复杂性。这种低效性会导致解析过程消耗过多的 CPU 资源，从而导致运行时间显著延长或潜在的拒绝服务情况。

该漏洞归类于 CWE-1333（低效正则表达式复杂性）和 CWE-400（未受控的资源消耗）。利用此漏洞无需认证或用户交互，可以通过向使用低于 6.6.0 版本的易受攻击 pypdf 的应用程序提供特制的 PDF 文件来远程触发。pypdf 版本 6.6.0 已通过优化解析逻辑和降低正则表达式复杂性解决了此问题。截至发布日期，尚未有已知的野外利用报告。CVSS v4.0 基础评分为 2.7，反映了较低严重性，主要是由于影响范围有限，并且除了资源耗尽外，不会导致机密性、完整性或可用性的损害。

潜在影响

对于欧洲的组织而言，此漏洞的主要影响是可能导致依赖 pypdf 进行自动化 PDF 处理的系统（如文档管理平台、内容摄取管道或 PDF 验证工具）发生拒绝服务或显著性能下降。攻击者可以提供恶意制作的 PDF 来破坏服务，导致停机或处理延迟。虽然该漏洞不会导致数据泄露或代码执行，但资源耗尽可能会影响可用性和操作连续性。处理大量 PDF 或暴露于不受信任的 PDF 输入的组织面临更高的风险。在启用了非严格解析模式的环境中，影响更为显著，该模式可能用于容忍格式错误的 PDF，但增加了漏洞暴露的风险。考虑到较低的 CVSS 评分且缺乏已知利用，直接风险有限，但在关键的文档处理工作流中不应忽视。

缓解建议

为了缓解此漏洞，欧洲的组织应将所有 pypdf 实例升级到 6.6.0 或更高版本，该版本已修复此问题。如果无法立即升级，在 PDF 解析中禁用或避免使用非严格读取模式可以减少暴露风险。在处理前实施输入验证和过滤，以检测并阻止包含过多空白字符或畸形 startxref 部分的可疑 PDF。在 PDF 解析操作中采用资源使用监控和超时设置，以防止运行时间过长影响系统可用性。此外，考虑对 PDF 处理组件进行沙盒化，以隔离潜在的拒绝服务影响。定期审查和更新依赖项，以便及时纳入安全补丁。最后，向开发人员和系统管理员普及此漏洞知识，以确保认知和及时修复。

受影响国家

德国、法国、英国、荷兰、意大利、西班牙、瑞典

来源： CVE Database V5 发布日期： 2026年1月10日 星期六