PT-2020-15880 · Xpdf · Xpdf
Publicado
2020-09-03
·
Atualizado
2020-09-11
·
CVE-2020-24996
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Xpdf versão 4.0.2
Descrição
O problema está relacionado a um acesso inválido à memória na função
TextString::~TextString(), localizada em Catalog.cc. Isso pode ser desencadeado pelo envio de um arquivo PDF malicioso ao binário pdftohtml, permitindo potencialmente que um invasor remoto cause uma negação de serviço (falha de segmentação) ou tenha outros impactos não especificados.Recomendações
Para o Xpdf versão 4.0.2, considere restringir o acesso ao binário pdftohtml para minimizar o risco de exploração até que um patch esteja disponível. Como solução temporária, evite usar o binário pdftohtml com arquivos PDF não confiáveis.
Exploit
Correção
Improper Initialization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Xpdf