Libpodofo
Уязвимости
63
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.08458
Распределение по критичности
Критический
3
Высокий
18
Средний
40
Низкий
2
Также сопоставлено как (исходные строки): libpodofo
Топ уязвимостей
CVE-2019-9687PoDoFo 0.9.6 имеет переполнение буфера на основе кучи в PdfString::ConvertUTF16toUTF8 в base/PdfString.cpp.
CVE-2017-8378Переполнение буфера на основе кучи в функции PdfParser::ReadObjects в base/PdfParser.cpp в PoDoFo 0.9.5 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой приложения) или, возможно, оказывать другое не указанное воздействие через векторы, связанные с m_offsets.size.
CVE-2015-8981Переполнение буфера на основе кучи в функции PdfParser::ReadXRefSubsection в base/PdfParser.cpp в PoDoFo позволяет злоумышленникам оказывать неуказанное воздействие через векторы, связанные с m_offsets.size.
CVE-2023-31568В Podofo v0.10.0 обнаружено переполнение буфера кучи через компонент PoDoFo::PdfEncryptRC4::PdfEncryptRC4.
CVE-2023-31567В Podofo v0.10.0 обнаружено переполнение буфера кучи через компонент PoDoFo::PdfEncryptAESV3::PdfEncryptAESV3.
CVE-2023-31566В Podofo v0.10.0 было обнаружено использование кучи после освобождения через компонент PoDoFo::PdfEncrypt::IsMetadataEncrypted().
CVE-2019-9199PoDoFo::Impose::PdfTranslator::setSource() в pdftranslator.cpp в PoDoFo 0.9.6 имеет разыменование нулевого указателя, которое может (например) быть вызвано отправкой специально созданного PDF-файла в двоичный файл podofoimpose. Это позволяет злоумышленнику вызвать отказ в обслуживании (ошибка сегментации) или, возможно, оказать другое неуказанное воздействие.
CVE-2018-8002В PoDoFo 0.9.5 существует уязвимость бесконечного цикла в PdfParserObject::ParseFileComplete() в PdfParserObject.cpp, которая может привести к переполнению стека. Удаленные злоумышленники могут использовать эту уязвимость для вызова отказа в обслуживании или, возможно, другого неуказанного воздействия через специально созданный pdf-файл.
CVE-2018-20751Проблема обнаружена в crop_page в PoDoFo 0.9.6. Для специально созданного PDF-документа pPage->GetObject()->GetDictionary().AddKey(PdfName("MediaBox"),var) может быть проблематичным из-за того, что функция GetObject() вызывается для объекта указателя pPage NULL. Значение pPage в этот момент равно 0x0, что вызывает разыменование нулевого указателя.
CVE-2018-19532В функции PdfTranslator::setTarget() в pdftranslator.cpp PoDoFo 0.9.6 существует уязвимость разыменования нулевого указателя при создании PdfXObject, как продемонстрировано podofoimpose. Это позволяет злоумышленнику вызвать отказ в обслуживании.
CVE-2017-8787Функция PoDoFo::PdfXRefStreamParserObject::ReadXRefStreamEntry в base/PdfXRefStreamParserObject.cpp:224 в PoDoFo 0.9.5 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (переполнение буфера на основе кучи) или, возможно, иметь другие неуказанные последствия через специально созданный PDF-файл.
CVE-2025-46205Бесплатная функция использования в PdfTokenizer::ReadDictionary функция podofo v0.10.0 до v0.10.5 позволяет злоумышленникам вызвать отказ в обслуживании (DoS), предоставив созданный PDF-файл. ПРИМЕЧАНИЕ: Это оспаривается Поставщиком, потому что нет доступного файла для воспроизведения проблемы.
CVE-2023-2241Уязвимость, классифицированная как критическая, была обнаружена в PoDoFo 0.10.0. Затронута функция readXRefStreamEntry файла PdfXRefStreamParserObject.cpp. Манипуляция приводит к переполнению буфера на основе кучи. Атака должна быть произведена локально. Эксплойт был обнародован и может быть использован. Патч идентифицирован как 535a786f124b739e3c857529cecc29e4eeb79778. Рекомендуется применить патч для исправления этой проблемы. VDB-227226 - это идентификатор, присвоенный этой уязвимости.
CVE-2021-30472Обнаружена уязвимость в PoDoFo 0.9.7. Переполнение буфера на основе стека в функции PdfEncryptMD5Base::ComputeOwnerKey в PdfEncrypt.cpp возможно из-за неправильной проверки значения keyLength.
CVE-2018-8001В PoDoFo 0.9.5 существует уязвимость переполнения буфера на основе кучи в UnescapeName() в PdfName.cpp. Удаленные злоумышленники могут использовать эту уязвимость для вызова отказа в обслуживании или, возможно, другого неуказанного воздействия через специально созданный pdf-файл.
CVE-2018-5308PoDoFo 0.9.5 неправильно проверяет аргументы memcpy в функции PdfMemoryOutputStream::Write (base/PdfOutputStream.cpp). Удаленные злоумышленники могут использовать эту уязвимость для вызова отказа в обслуживании или, возможно, оказания иного неуказанного воздействия через специально созданный PDF-файл.
CVE-2018-12983Переполнение буфера на основе стека в функции PdfEncryptMD5Base::ComputeEncryptionKey() в PdfEncrypt.cpp в PoDoFo 0.9.6-rc1 может быть использовано удаленными злоумышленниками для вызова отказа в обслуживании через специально созданный PDF-файл.
CVE-2017-6844Переполнение буфера в функции PoDoFo::PdfParser::ReadXRefSubsection в PdfParser.cpp в PoDoFo 0.9.4 позволяет удаленным злоумышленникам оказывать неопределенное воздействие через специально созданный файл.
CVE-2017-6843Переполнение буфера на основе кучи в функции PoDoFo::PdfVariant::DelayedLoad в PdfVariant.h в PoDoFo 0.9.4 позволяет удаленным злоумышленникам оказывать неопределенное воздействие через специально созданный файл.
CVE-2017-5886Переполнение буфера на основе кучи в функции PoDoFo::PdfTokenizer::GetNextToken в PdfTokenizer.cpp в PoDoFo 0.9.4 позволяет удаленным злоумышленникам оказывать не указанное воздействие через специально созданный файл.
CVE-2017-5853Целочисленное переполнение в base/PdfParser.cpp в PoDoFo 0.9.4 позволяет удаленным злоумышленникам оказывать неуказанное воздействие через специально созданный файл.
CVE-2023-31556В podofoinfo 0.10.0 было обнаружено нарушение сегментации через функцию PoDoFo::PdfDictionary::findKeyParent.
CVE-2023-31555В podofoinfo 0.10.0 было обнаружено нарушение сегментации через функцию PoDoFo::PdfObject::DelayedLoad.
CVE-2018-20797Обнаружена проблема в PoDoFo 0.9.6. Имеет место попытка чрезмерного выделения памяти в PoDoFo::podofo_calloc в base/PdfMemoryManagement.cpp при вызове из PoDoFo::PdfPredictorDecoder::PdfPredictorDecoder в base/PdfFiltersPrivate.cpp.
CVE-2018-14320Эта уязвимость позволяет удаленным злоумышленникам раскрывать конфиденциальную информацию на уязвимых установках PoDoFo. Для эксплуатации этой уязвимости требуется взаимодействие с пользователем, так как цель должна посетить вредоносную страницу или открыть вредоносный файл. Конкретный недостаток существует в PdfEncoding::ParseToUnicode. Проблема возникает из-за отсутствия надлежащей проверки предоставленных пользователем данных, что может привести к повреждению памяти. Злоумышленник может использовать это в сочетании с другими уязвимостями для выполнения произвольного кода в контексте текущего процесса. Идентификатор ZDI-CAN-5673.