概述
CVE-2025-62708 - PyPDF manipulated LZWDecode streams can exhaust RAM
漏洞描述
PyPDF是一个免费开源的纯Python PDF库。在6.1.3版本之前,攻击者可以利用此漏洞制作特制PDF文件,导致大量内存使用。这需要解析使用LZWDecode过滤器的页面内容流。该问题已在PyPDF 6.1.3版本中修复。
漏洞详情
- 发布日期:2025年10月22日 22:15
- 最后修改:2025年10月22日 22:15
- 远程利用:是
- 漏洞来源:security-advisories@github.com
受影响产品
| ID | 供应商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Pypdf_project | pypdf |
总计受影响供应商:1 | 产品:1
CVSS评分
- 评分:6.6
- 版本:CVSS 4.0
- 严重性:中等
- 来源:security-advisories@github.com
解决方案
- 将PyPDF更新到6.1.3或更高版本以修复过度内存使用问题
- 确保内容流使用安全的解码方法
公开PoC/利用
在GitHub上有1个公开的PoC/利用可用。
参考链接
- https://github.com/py-pdf/pypdf/commit/e51d07807ffcdaf18077b9486dadb3dc05b368da
- https://github.com/py-pdf/pypdf/pull/3502
- https://github.com/py-pdf/pypdf/releases/tag/6.1.3
- https://github.com/py-pdf/pypdf/security/advisories/GHSA-jfx9-29x2-rv3j
CWE关联
CWE-409:高度压缩数据的处理不当(数据放大)
漏洞时间线
| 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 新增 | 描述 | PyPDF是一个免费开源的纯Python PDF库… | |
| 新增 | CVSS V4.0 | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/… | |
| 新增 | CWE | CWE-409 | |
| 新增 | 参考 | https://github.com/py-pdf/pypdf/commit/… |
新CVE接收:由security-advisories@github.com于2025年10月22日