pypdf – свободная pure‑Python библиотека для работы с PDF. До версии 6.1.3 у неё была уязвимость, позволяющая злоумышленнику создать PDF‑фа…
pypdf – свободная pure‑Python библиотека для работы с PDF. До версии 6.1.3 у неё была уязвимость, позволяющая злоумышленнику создать PDF‑файл с LZWDecode‑потоком, который при разборе может привести к чрезвычайно большому потреблению оперативной памяти и, потенциально, к отказу службы (см. [1]). Уязвимость связана с отсутствием ограничения размера LZWDecode‑потоков (см. "Manipulated LZWDecode streams can exhaust RAM"). Проблема исправлена в версии 6.1.3, где реализовано ограничение размера потока (см. PR #3502) (см. [2]). При невозможности обновиться рекомендуется применить изменения из PR #3502 (см. [3]). Источники: - [1] https://github.com/py-pdf/pypdf/security/advisories/GHSA-jfx9-29x2-rv3j - [2] https://github.com/py-pdf/pypdf/pull/3502 - [3] https://github.com/py-pdf/pypdf/commit/e51d07807ffcdaf18077b9486dadb3dc05b368da - [4] https://github.com/py-pdf/pypdf/releases/tag/6.1.3
Продукт не обрабатывает либо обрабатывает некорректно сжатые входные данные с очень высокой степенью сжатия, при распаковке которых получается большой объём выходных данных.
https://cwe.mitre.org/data/definitions/409.html →Открыть в коллекции CWE →| Продукт | Вендор | Статус |
|---|---|---|
| Отслеживается | ||
| pypdf | Отслеживается | |
| pypdf | Отслеживается | |
| pypdf | Отслеживается | |
| pypdf | Отслеживается | |
| pypdf | * | Отслеживается |