CVE-2026-22690：CWE-400：py-pdf pypdf中的不受控资源消耗

严重性：低 类型：漏洞

CVE-2026-22690

pypdf是一个免费开源的纯Python PDF库。在6.6.0版本之前，pypdf在处理缺少/Root对象且/Size值较大的PDF时，可能存在运行时间过长的问题。攻击者可以利用此漏洞制作一个PDF文件，导致处理实际上无效的文件时可能运行时间过长。这可以通过在文件尾注（trailer）中省略/Root条目，同时使用较大的/Size值来实现。只有非严格读取模式受影响。此问题已在6.6.0版本中修复。

AI分析

技术摘要 CVE-2026-22690是一个资源耗尽漏洞，归类于CWE-400，影响pypdf库。pypdf是一个广泛用于读取和操作PDF文件的纯Python PDF处理工具。该问题出现在6.6.0之前的版本中，当库处理那些在文件尾注字典中省略了必需的/Root条目但指定了较大/Size值的PDF文件时触发。在非严格读取模式下，这种畸形PDF会导致解析器进入尝试处理过多对象的状态，从而导致运行时间延长和高CPU消耗。这种不受控的资源消耗可能降低系统性能，或在依赖pypdf进行PDF解析的应用程序中导致拒绝服务条件。该漏洞无需身份验证或用户交互，可通过提供特制的PDF文件远程触发。pypdf 6.6.0已通过改进对文件尾注字典条目的验证和处理来解决此缺陷，以防止过度处理。尚未报告公开的利用程序，CVSS v4.0基本评分为2.7，反映了由于影响有限且易于缓解而导致的低严重性。

潜在影响 对于欧洲组织，主要影响是在使用存在漏洞的pypdf版本处理恶意构造的PDF时，可能通过资源耗尽导致拒绝服务。这可能影响文档管理系统、自动化PDF处理流程或任何在非严格模式下使用pypdf解析PDF的服务。虽然该漏洞不会导致代码执行或数据泄露，但长时间的CPU使用会降低服务可用性和性能，影响业务运营。处理大量PDF的组织，如律师事务所、金融机构、政府机构和出版公司，可能会因资源压力而遇到服务中断或运营成本增加。较低的CVSS评分表明风险有限，但在pypdf嵌入关键工作流程且没有严格输入验证或沙箱隔离的情况下，此威胁是相关的。

缓解建议 欧洲组织应将所有pypdf实例升级到6.6.0或更高版本，以消除此漏洞。在无法立即升级的情况下，应在处理前实施严格的输入验证，拒绝缺少/Root条目或具有可疑大/Size值的PDF。在PDF解析服务周围采用沙箱或资源限制机制（例如，CPU和内存配额）以遏制潜在的资源耗尽。监控PDF处理期间的CPU和内存使用模式以检测异常，从而发现利用尝试。此外，尽可能将pypdf配置为使用严格读取模式，因为该漏洞仅影响非严格模式。定期审计依赖项并维护最新的软件物料清单，以确保及时修补此类漏洞。

受影响国家 德国、法国、英国、荷兰、瑞典、意大利、西班牙

来源： CVE数据库 V5 发布时间： 2026年1月10日星期六