pypdf可通过恶意LZWDecode流耗尽RAM内存
漏洞详情
包名: pypdf (pip)
受影响版本: < 6.1.3
已修复版本: 6.1.3
影响描述
攻击者可以利用此漏洞制作特制的PDF文件,导致大量内存使用。这需要在解析使用LZWDecode过滤器的页面内容流时触发。
修复方案
补丁: 该漏洞已在pypdf==6.1.3版本中修复。
临时解决方案: 如果暂时无法升级,可以考虑应用PR #3502中的更改。
参考信息
- GHSA-jfx9-29x2-rv3j
- py-pdf/pypdf#3502
- py-pdf/pypdf@e51d078
漏洞严重程度
严重等级: 中等
CVSS总体评分: 6.6/10
CVSS v4基础指标
可利用性指标:
- 攻击向量: 网络
- 攻击复杂度: 低
- 攻击要求: 无
- 所需权限: 无
- 用户交互: 无
脆弱系统影响指标:
- 机密性: 无影响
- 完整性: 无影响
- 可用性: 高影响
弱点分类
CWE-409: 高度压缩数据处理不当(数据放大)
产品未能正确处理或错误处理具有极高压缩比且产生大量输出的压缩输入。
贡献者
报告者: tylzh97
分析师: stefan6419846