漏洞标题
当使用带有PDF的PdfWriter(clone_from)时,pypdf可能出现无限循环
漏洞描述信息
## 漏洞概述
pypdf 是一个免费的开源纯 Python PDF 库。攻击者可以利用 pypdf 版本 3.7.0 到 3.16.4 之间的漏洞,创建一个导致无限循环的 PDF 文件。这将堵塞当前进程,并使单个 CPU 核心占用率达到 100%。这影响的是用户在处理恶意 PDF 文件时(例如合并或添加注释)。
## 影响版本
- 3.7.0 到 3.16.4
## 细节
攻击者可以通过精心设计的 PDF 文件来触发无限循环,导致当前进程被堵塞。此无限循环会占用单个 CPU 核心 100% 的资源,但不会影响内存使用。漏洞已修复在版本 3.17.0 中。
## 影响
漏洞导致处理 PDF 文件过程中系统资源耗尽,进而导致进程被堵塞。建议所有用户升级到版本 3.17.0 或以上版本。如果不能立即升级,可以手动应用修复补丁,修改文件 `pypdf/generic/_data_structures.py`。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:N/A:H
漏洞类别
不可达退出条件的循环(无限循环)
漏洞标题
pypdf possible Infinite Loop when PdfWriter(clone_from) is used with a PDF
漏洞描述信息
pypdf is a free and open-source pure-python PDF library. An attacker who uses a vulnerability present in versions 3.7.0 through 3.16.4 can craft a PDF which leads to an infinite loop. This infinite loop blocks the current process and can utilize a single core of the CPU by 100%. It does not affect memory usage. That is, for example, the case when the pypdf-user manipulates an incoming malicious PDF e.g. by merging it with another PDF or by adding annotations. The issue was fixed in version 3.17.0. As a workaround, apply the patch manually by modifying `pypdf/generic/_data_structures.py`.
CVSS信息
CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
漏洞类别
不可达退出条件的循环(无限循环)
漏洞标题
pypdf 安全漏洞
漏洞描述信息
pypdf是py-pdf开源的一个免费开源的纯 python PDF 库。能够拆分、合并、裁剪和转换 PDF 文件的页面。 pypdf 3.7.0到3.16.4版本存在安全漏洞,该漏洞源于允许攻击者伪造PDF,从而导致无限循环。
CVSS信息
N/A
漏洞类别
其他