Pypdf
Уязвимости
32
Эксплуатируемые
0
Макс. CVSS
6.9
Макс. EPSS
0.00455
Распределение по критичности
Критический
0
Высокий
0
Средний
24
Низкий
3
Также сопоставлено как (исходные строки): pypdf
Топ уязвимостей
CVE-2026-48735pypdf - это бесплатная библиотека PDF с открытым исходным кодом. До 6.12.1 злоумышленник, используюющий эту уязвимость, может создать PDF-файл, который приводит к большому использованию памяти. Это требует разбора больших метаданных XMP, возможно, с большим количеством ненужных элементов. Эта уязвимость зафиксирована в пункте 6.12.1.
CVE-2026-41168pypdf - это бесплатная библиотека PDF с открытым исходным кодом. Злоумышленник, который использует уязвимость, присутствующую в версиях до 6.10.1, может создать PDF, который приводит к длительным времени выполнения. Это требует кросс-реферментных потоков с неправильными большими `/Size` значениями или потоками объектов с неправильными большими `/N` значениями. Это было исправлено в pypdf 6.10.1. В качестве обходного пути можно применять изменения из пласта вручную.
CVE-2026-40260pypdf - это бесплатная библиотека PDF с открытым исходным кодом. В версиях до 6.10.0 манипулируемые декларации метаданных XMP могут исчерпать оперативную память. Злоумышленник, который использует эту уязвимость, может создать PDF-файл, который приводит к большому использованию памяти. Это требует разбора метаданных XMP. Эта проблема исправлена в версии 6.10.0.
CVE-2026-28804pypdf - это бесплатная библиотека PDF с открытым исходным кодом. До версии 6.7.5 злоумышленник, используюющий эту уязвимость, может создать PDF-файл, который приводит к длительным времени выполнения. Это требует доступа к потоку, который использует фильтр /ASCIHexDecode. Эта проблема была исправлена в версии 6.7.5.
CVE-2026-28351pypdf - это бесплатная библиотека PDF с открытым исходным кодом. До версии 6.7.4 злоумышленник, использующий эту уязвимость, может создать PDF-файл, который приводит к большому использованию памяти. Это требует разбора потока контента с помощью фильтра RunLengthDecode. Это было исправлено в pypdf 6.7.4. В качестве обходного процесса рассмотрите возможность применения изменений от PR #3664.
CVE-2026-27026pypdf - это бесплатная библиотека PDF с открытым исходным кодом. До 6.7.1 злоумышленник, который использует эту уязвимость, может создать PDF-файл, который приводит к длительным времени выполнения. Для этого требуется деформированный поток /FlateDecode, где используется декомпрессия байтом. Эта уязвимость зафиксирована в пункте 6.7.1.
CVE-2026-27025pypdf - это бесплатная библиотека PDF с открытым исходным кодом. До 6.7.1 злоумышленник, который использует эту уязвимость, может создать PDF-файл, который приводит к длительным времени выполнения и большому потреблению памяти. Это требует разбора ввода /ToUnicode шрифта с необычно большими значениями, например, во время извлечения текста. Эта уязвимость зафиксирована в пункте 6.7.1.
CVE-2026-27024pypdf - это бесплатная библиотека PDF с открытым исходным кодом. До 6.7.1 злоумышленник, используюющий эту уязвимость, может создать PDF-файл, который ведет к бесконечному циклу. Это требует доступа к детям TreeObject, например, как часть очертаний. Эта уязвимость зафиксирована в пункте 6.7.1.
CVE-2026-31826pypdf - это бесплатная библиотека PDF с открытым исходным кодом. До 6.8.0 злоумышленник, использующий эту уязвимость, может создать PDF-файл, который приводит к большому использованию памяти. Это требует разбора потока контента с довольно большим значением /Length, независимо от фактической длины данных внутри потока. Эта уязвимость зафиксирована в пункте 6.8.0.
CVE-2026-27888pypdf - это бесплатная библиотека PDF с открытым исходным кодом. До 6.7.3 злоумышленник, используюющий эту уязвимость, может создать PDF-файл, который приводит к исчерпанию оперативной памяти. Это требует доступа к `xfa` свойству читателя или писателя и сжатию соответствующего потока с помощью `xfadecode`. Это было зафиксировано в pypdf 6.7.3. В качестве обходного пути применяйте патч вручную.
CVE-2025-66019pypdf - это бесплатная PDF-библиотека с открытым исходным кодом. До версии 6.4.0 злоумышленник, используюющий эту уязвимость, может создать PDF-файл, который приводит к использованию памяти до 1 ГБ на поток. Это требует разбора потока содержимого страницы с помощью фильтра LZWDecode. Этот вопрос был исправлен в версии 6.4.0.
CVE-2025-62708pypdf – свободная pure‑Python библиотека для работы с PDF. До версии 6.1.3 у неё была уязвимость, позволяющая злоумышленнику создать PDF‑файл с LZWDecode‑потоком, который при разборе может привести к чрезвычайно большому потреблению оперативной памяти и, потенциально, к отказу службы (см. [1]). Уязвимость связана с отсутствием ограничения размера LZWDecode‑потоков (см. "Manipulated LZWDecode streams can exhaust RAM"). Проблема исправлена в версии 6.1.3, где реализовано ограничение размера потока (см. PR #3502) (см. [2]). При невозможности обновиться рекомендуется применить изменения из PR #3502 (см. [3]).
Источники:
- [1] https://github.com/py-pdf/pypdf/security/advisories/GHSA-jfx9-29x2-rv3j
- [2] https://github.com/py-pdf/pypdf/pull/3502
- [3] https://github.com/py-pdf/pypdf/commit/e51d07807ffcdaf18077b9486dadb3dc05b368da
- [4] https://github.com/py-pdf/pypdf/releases/tag/6.1.3
CVE-2025-62707В библиотеке pypdf (Python) до версии 6.1.3 обнаружена уязвимость, позволяющая при обработке PDF‑файла с встроенным изображением, использующим фильтр DCTDecode, вызвать бесконечный цикл, из‑за чего процесс зависает. Уязвимость исправлена в версии 6.1.3. Подробные сведения доступны в источниках [1]–[4].
Источники:
- [1] https://github.com/py-pdf/pypdf/security/advisories/GHSA-vr63-x8vc-m265
- [2] https://github.com/py-pdf/pypdf/pull/3501
- [3] https://github.com/py-pdf/pypdf/commit/f2864d6dd9bac7cecd3f4f54308b25ebbfa178f8
- [4] https://github.com/py-pdf/pypdf/releases/tag/6.1.3
CVE-2025-55197pypdf - это бесплатная библиотека PDF с открытым исходным кодом. До версии 6.0.0 злоумышленник может создать PDF-файл, который приводит к исчерпанию ОЗО. Это требует простого чтения файла, если серия фильтров FlateDecode используется в вредоносном кросс-референс-потоке. Другие потоки контента затрагиваются при явном доступе. Эта проблема была исправлена в 6.0.0. Если обновление невозможно, обходной процесс включает включение фиксированного кода из pypdf.filters.decompress в существующий файл фильтров.
CVE-2023-36464pypdf — это библиотека PDF с открытым исходным кодом, написанная на чистом Python. В затронутых версиях злоумышленник может создать PDF-файл, который приведет к бесконечному циклу при выполнении `__parse_content_stream`. Это, например, происходит, если пользователь извлекает текст из такого PDF-файла. Эта проблема была внесена в запросе на включение #969 и решена в запросе на включение #1828. Пользователям рекомендуется обновиться. Пользователи, не имеющие возможности обновиться, могут изменить строку `while peek not in (b"\r", b"\n")` в `pypdf/generic/_data_structures.py` на `while peek not in (b"\r", b"\n", b"")`.
CVE-2023-46250pypdf — это бесплатная библиотека PDF с открытым исходным кодом, написанная на чистом Python. Злоумышленник, использующий уязвимость, присутствующую в версиях 3.7.0–3.16.4, может создать PDF-файл, приводящий к бесконечному циклу. Этот бесконечный цикл блокирует текущий процесс и может использовать одно ядро ЦП на 100 %. Это не влияет на использование памяти. Это, например, тот случай, когда пользователь pypdf манипулирует входящим вредоносным PDF-файлом, например, путем слияния его с другим PDF-файлом или путем добавления аннотаций. Проблема была решена в версии 3.17.0. В качестве обходного пути примените исправление вручную, изменив `pypdf/generic/_data_structures.py`.
CVE-2026-48156pypdf - это бесплатная библиотека PDF с открытым исходным кодом. До 6.12.0 злоумышленник, который использует эту уязвимость, может создать PDF-файл, который приводит к длительным времени выполнения. Это требует кросс-референс-потоков со значениями /W [0 0] и большими значениями / Размером. Эта уязвимость зафиксирована в 6.12.0.
CVE-2026-33123pypdf - это бесплатная библиотека PDF с открытым исходным кодом. Версии до 6.9.1 позволяют злоумышленнику создавать вредоносный PDF, который приводит к длительным времени выполнения и/или большому использованию памяти. Эксплуатация требует доступа к потоку на основе массива с множеством записей. Эта проблема исправлена в версии 6.9.1.
CVE-2026-24688pypdf - это бесплатная библиотека PDF с открытым исходным кодом. Злоумышленник, который использует уязвимость бесконечного цикла, которая присутствует в версиях до 6.6.2, может создать PDF, который ведет к бесконечному циклу. Это требует доступа к наброскам/закладкам. Это было зафиксировано в pypdf 6.6.2. Если проекты пока не могут обновиться, рассмотрите возможность применения изменений от PR #3610 вручную.
CVE-2026-48155pypdf - это бесплатная библиотека PDF с открытым исходным кодом. До 6.12.0 злоумышленник, использующий эту уязвимость, может создать PDF-файл, который приводит к большому использованию памяти. Это требует извлечения текста в режиме компоновки с большими смешениями символов. Эта уязвимость зафиксирована в 6.12.0.
CVE-2026-41314pypdf - это бесплатная библиотека PDF с открытым исходным кодом. Злоумышленник, который использует уязвимость, присутствующую в версиях до 6.10.2, может создать PDF, который приводит к исчерпанию оперативной памяти. Это требует доступа к изображению с помощью `/FlateDecode` с большими значениями размера. Это было зафиксировано в pypdf 6.10.2. В качестве обходного периода можно применять изменения из пластыря вручную.
CVE-2026-41313pypdf - это бесплатная библиотека PDF с открытым исходным кодом. Злоумышленник, который использует уязвимость, присутствующую в версиях до 6.10.2, может создать PDF, который приводит к длительным времени выполнения. Это требует загрузки PDF с большим значением прицепа `/Size` в инкрементальном режиме. Это было зафиксировано в pypdf 6.10.2. В качестве обходного периода можно применять изменения из пластыря вручную.
CVE-2026-41312pypdf - это бесплатная библиотека PDF с открытым исходным кодом. Злоумышленник, который использует уязвимость, присутствующую в версиях до 6.10.2, может создать PDF, который приводит к исчерпанию оперативной памяти. Это требует доступа к потоку, сжатому с помощью `/FlateDecode` с неравным параметром 1 и большим параметрам предиктора. Это было зафиксировано в pypdf 6.10.2. В качестве обходного периода можно применять изменения из пластыря вручную.
CVE-2026-33699pypdf - это бесплатная библиотека PDF с открытым исходным кодом. Версии до 6.9.2 имеют уязвимость, при которой злоумышленник может создать PDF, который ведет к бесконечному циклу. Это требует чтения файла в нестроговом режиме. Это было зафиксировано в pypdf 6.9.2. Если пользователи пока не могут обновиться, рассмотрите возможность применения изменений от патча вручную.
CVE-2026-22691pypdf - это бесплатная библиотека PDF с открытым исходным кодом. До версии 6.6.0 pypdf имеет возможные длительные время работы для деформированного startxref. Злоумышленник, который использует эту уязвимость, может создать PDF-файл, который приводит к возможному длительному времени работы для недействительных записей старта. При перестройке таблицы перекрестных референтов файлы PDF с большим количеством символов пробелов становятся проблематичными. Затрагивается только нестрый режим чтения. Затрагивается только нестрый режим чтения. Эта проблема была исправлена в версии 6.6.0.