В Artifex Ghostscript до версии 10.05.0 обнаружена уязвимость, связанная с некорректной обработкой слишком длинных кодировок UTF-8 в функци…
В Artifex Ghostscript до версии 10.05.0 обнаружена уязвимость, связанная с некорректной обработкой слишком длинных кодировок UTF-8 в функции decode_utf8 в файле base/gp_utf8.c. Эта проблема существует из-за неполного исправления CVE-2024-46954 [1]. Уязвимость позволяет злоумышленникам потенциально обойти меры безопасности, такие как проверка путей, путем внедрения специальных UTF-8 последовательностей. Источники: - [1] https://bugs.ghostscript.com/show_bug.cgi?id=708311 - [2] https://cgit.ghostscript.com/cgi-bin/cgit.cgi/ghostpdl.git/commit/?id=f14ea81e6c3d2f51593f23cdf13c4679a18f1a3f
Продукт использует внешние входные данные для формирования пути, который должен находиться внутри ограниченного каталога, однако не нейтрализует должным образом последовательности "../", способные разрешиться в местоположение за пределами этого каталога.
https://cwe.mitre.org/data/definitions/24.html →Открыть в коллекции CWE →| Продукт | Вендор | Статус |
|---|---|---|
| Отслеживается | ||
| ghostscript | Отслеживается | |
| ghostscript | Отслеживается | |
| ghostscript | Отслеживается | |
| ghostscript | Отслеживается | |
| ghostscript | Отслеживается | |
| ghostscript | Отслеживается | |
| ghostscript | Отслеживается | |
| ghostscript | Отслеживается | |
| ghostscript | Отслеживается | |
| ghostscript | Отслеживается | |
| ghostscript | * | Отслеживается |
| ghostscript | Отслеживается | |
| ghostscript | Отслеживается | |
| ghostscript | Отслеживается | |
| ghostscript | Отслеживается | |
| ghostscript-classic | Отслеживается | |
| ghostscript-classic | Отслеживается | |
| ghostscript-classic | Отслеживается | |
| ghostscript-classic | Отслеживается |