PT-2021-18202 · Pypi+1 · Pikepdf+1

Eric Therond

Publicado

2021-04-01

Atualizado

2025-12-12

CVE-2021-29421

CVSS v4.0

8.7

Alta

Vetor

AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

**Nome do software vulnerável e versões afetadas:

pikepdf, versões 1.3.0 a 2.9.2

Descrição:

A vulnerabilidade permite ataques XXE (Entidade Externa XML) durante a análise de entradas de metadados XMP no arquivo models/metadata.py do pacote pikepdf para Python. Isso ocorre devido ao tratamento inadequado de entidades externas XML, podendo levar à exposição de dados ou a outros problemas de segurança.

Recomendações:

Para as versões 1.3.0 a 2.9.2 do pikepdf, atualize para uma versão que contenha uma correção para este problema, a fim de evitar ataques XXE ao analisar entradas de metadados XMP.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

XXE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-611

Identificadores relacionados

ALT-PU-2021-2030

CVE-2021-29421

GHSA-CCGM-3XW4-H5P8

MGASA-2021-0268

OPENSUSE-SU-2024:11250-1

OPENSUSE-SU-2024:13864-1

PYSEC-2021-34

Produtos afetados

Alt Linux

Pikepdf

PT-2021-18202 · Pypi+1 · Pikepdf+1

CVE-2021-29421

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 24