PyPDF可能在处理无EOF标记的DCT内联图像时无限循环
漏洞详情
包名: pypdf (pip)
受影响版本: < 6.1.3
已修复版本: 6.1.3
漏洞描述
影响
攻击者可以利用此漏洞制作特制的PDF文件,导致解析器进入无限循环。这需要解析包含使用DCTDecode过滤器的内联图像的页面内容流。
修复补丁
该漏洞已在pypdf==6.1.3版本中修复。
临时解决方案
如果无法立即升级,可以考虑应用PR #3501中的更改。
参考信息
- GHSA-vr63-x8vc-m265
- py-pdf/pypdf#3501
严重程度
中等严重程度 - CVSS总体评分:6.6/10
CVSS v4基础指标
可利用性指标
- 攻击向量:网络
- 攻击复杂性:低
- 攻击要求:无
- 所需权限:无
- 用户交互:无
脆弱系统影响指标
- 机密性:无影响
- 完整性:无影响
- 可用性:高影响
后续系统影响指标
- 机密性:无影响
- 完整性:无影响
- 可用性:无影响
弱点分类
CWE-834: 过度迭代 产品执行迭代或循环时,未充分限制循环执行次数。
标识符
- CVE ID: CVE-2025-62707
- GHSA ID: GHSA-vr63-x8vc-m265
源代码
py-pdf/pypdf
致谢
- 报告者:tylzh97
- 分析师:stefan6419846