CVE-2025-62708 - pypdf操纵LZWDecode流可耗尽RAM
概述
CVSS 4.0评分:6.6(中危)
漏洞描述
pypdf是一个免费开源的纯Python PDF库。在6.1.3版本之前,攻击者可以利用此漏洞制作特制PDF文件,导致大量内存使用。这需要解析使用LZWDecode过滤器的页面内容流。该漏洞已在pypdf 6.1.3版本中修复。
漏洞信息
发布日期: 2025年10月22日 22:15
最后修改: 2025年10月22日 22:15
远程利用: 是
来源: security-advisories@github.com
受影响产品
目前尚未记录受影响的具体产品 总受影响供应商:0 | 产品:0
CVSS评分
| 评分 | 版本 | 严重等级 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 6.6 | CVSS 4.0 | 中危 | - | - | - | security-advisories@github.com |
解决方案
- 将pypdf更新到6.1.3或更高版本以修复内存过度使用问题
- 确保内容流使用安全的解码方法
公开PoC/漏洞利用
CVE-2025-62708在GitHub上有1个公开的PoC/漏洞利用。
参考链接
- https://github.com/py-pdf/pypdf/commit/e51d07807ffcdaf18077b9486dadb3dc05b368da
- https://github.com/py-pdf/pypdf/pull/3502
- https://github.com/py-pdf/pypdf/releases/tag/6.1.3
- https://github.com/py-pdf/pypdf/security/advisories/GHSA-jfx9-29x2-rv3j
CWE关联
CWE-409: 高度压缩数据处理不当(数据放大)
漏洞时间线
| 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 新增 | 描述 | - | pypdf是免费开源的纯Python PDF库… |
| 新增 | CVSS V4.0 | - | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/… |
| 新增 | CWE | - | CWE-409 |
| 新增 | 参考链接 | - | 上述GitHub链接 |
攻击类型
拒绝服务