Huang Wenjie

**Nome do software vulnerável e versões afetadas** Versões do metadata-extractor até a 2.16.0 **Descrição** A vulnerabilidade permite que um aplicativo trave devido a exceções não interceptadas ao analisar um arquivo JPEG especialmente criado, o que pode levar a um ataque de negação de serviço contra serviços que utilizam a biblioteca metadata-extractor. **Recomendações** Para versões do metadata-extractor até 2.16.0, atualize para uma versão posterior à 2.16.0 para resolver o problema. No momento, não há informações sobre outras medidas de mitigação específicas para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do metadata-extractor até a 2.16.0 **Descrição** A vulnerabilidade permite que um invasor provoque uma negação de serviço ao alocar grandes quantidades de memória ao ler um arquivo JPEG especialmente criado, afetando potencialmente serviços que utilizam a biblioteca metadata-extractor. Isso pode levar a um erro de falta de memória mesmo com entradas muito pequenas. **Recomendações** Para versões do metadata-extractor até 2.16.0, atualize para uma versão posterior à 2.16.0 para resolver o problema. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 7.1.17 a 7.1.17 do iText **Descrição** O problema está relacionado a um erro de falta de memória no componente `readStreamBytesRaw`, o que permite que invasores provoquem uma negação de serviço (DoS) por meio de um arquivo PDF malicioso. **Recomendações** Para a versão 7.1.17 do iText, considere atualizar para a versão 7.1.18 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso do componente `readStreamBytesRaw` até que um patch esteja disponível.

**Nome do software vulnerável e versões afetadas** iText versão 7.1.17 **Descrição** Foi descoberta uma vulnerabilidade de estouro de buffer baseada na pilha no componente `ByteBuffer.append`, que permite que invasores provoquem uma negação de serviço (DoS) por meio de um arquivo PDF malicioso. **Recomendações** Para a versão 7.1.17 do iText, considere desativar o componente `ByteBuffer.append` até que uma correção esteja disponível para evitar possíveis ataques de Negação de Serviço (DoS).

**Nome do software vulnerável e versões afetadas** iText versão 7.1.17 **Descrição** A falha permite que invasores provoquem uma negação de serviço (DoS) por meio de um arquivo PDF malicioso, explorando uma exceção de acesso fora dos limites no componente `ARCFOUREncryption.encryptARCFOUR`. O fornecedor não considera isso uma vulnerabilidade e não constatou que ela seja explorável. **Recomendações** Para a versão 7.1.17, considere desativar o componente `ARCFOUREncryption.encryptARCFOUR` como uma solução temporária para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.