概述
CVE-2025-62707 - pypdf在处理缺少EOF标记的DCT内联图像时可能陷入无限循环
漏洞描述
pypdf是一个免费开源的纯Python PDF库。在6.1.3版本之前,攻击者可以利用此漏洞制作特制PDF文件,导致无限循环。这需要解析包含使用DCTDecode过滤器的内联图像的页面内容流。该漏洞已在pypdf 6.1.3版本中修复。
漏洞详情
- 发布日期:2025年10月22日 22:15
- 最后修改:2025年10月22日 22:15
- 远程利用:是
- 数据来源:security-advisories@github.com
受影响产品
| ID | 供应商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Pypdf_project | pypdf |
总计受影响供应商:1 | 产品:1
CVSS评分
- 评分:6.6
- 版本:CVSS 4.0
- 严重程度:中等
- 数据来源:security-advisories@github.com
解决方案
- 将pypdf更新到6.1.3或更高版本以修复无限循环漏洞
- 确保所有依赖项也已更新
- 重新编译和重新部署受影响的应用程序
公共PoC/漏洞利用
Github上有1个公开的PoC/漏洞利用可用。
参考链接
- https://github.com/py-pdf/pypdf/commit/f2864d6dd9bac7cecd3f4f54308b25ebbfa178f8
- https://github.com/py-pdf/pypdf/pull/3501
- https://github.com/py-pdf/pypdf/releases/tag/6.1.3
- https://github.com/py-pdf/pypdf/security/advisories/GHSA-vr63-x8vc-m265
CWE - 常见弱点枚举
CWE-834:过度迭代
漏洞时间线
| 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 新增 | 描述 | pypdf是一个免费开源的纯Python PDF库… | |
| 新增 | CVSS V4.0 | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/… | |
| 新增 | CWE | CWE-834 | |
| 新增 | 参考链接 | 添加了多个GitHub参考链接 |
漏洞影响
- 拒绝服务:攻击者可通过特制PDF导致无限循环,造成服务不可用