PyPDF可能在处理无EOF标记的DCT内联图像时无限循环 · CVE-2025-62707
漏洞详情
包管理器: pip
受影响包: pypdf
受影响版本: < 6.1.3
已修复版本: 6.1.3
漏洞描述
影响
攻击者可以利用此漏洞制作特制的PDF文件,导致无限循环。这需要解析包含使用DCTDecode过滤器的内联图像的页面内容流。
补丁
该漏洞已在pypdf==6.1.3中修复。
临时解决方案
如果暂时无法升级,可以考虑应用PR #3501中的更改。
参考信息
- GHSA-vr63-x8vc-m265
- py-pdf/pypdf#3501
- https://nvd.nist.gov/vuln/detail/CVE-2025-62707
- py-pdf/pypdf@f2864d6
- https://github.com/py-pdf/pypdf/releases/tag/6.1.3
安全评分
严重程度:中等
CVSS总体评分: 6.6/10
CVSS v4基础指标
攻击向量: 网络
攻击复杂度: 低
攻击要求: 无
所需权限: 无
用户交互: 无
脆弱系统影响指标:
- 机密性:无影响
- 完整性:无影响
- 可用性:高影响
后续系统影响指标:
- 机密性:无影响
- 完整性:无影响
- 可用性:无影响
弱点分类
弱点: CWE-834 过度迭代
描述: 产品执行迭代或循环时没有充分限制循环执行次数。
标识符
- CVE ID: CVE-2025-62707
- GHSA ID: GHSA-vr63-x8vc-m265
致谢
报告者: tylzh97
分析师: stefan6419846