PT-2021-23745 · Itext+1 · Itext+1
Gabriele Zuddas
·
Publicado
2021-12-15
·
Atualizado
2026-02-25
·
CVE-2021-43113
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do iText anteriores à 7.1.17
Descrição
A vulnerabilidade permite a injeção de comandos por meio de um nome de arquivo do CompareTool que é processado incorretamente na linha de comando
gs (também conhecido como Ghostscript) no GhostscriptHelper.java. Isso pode ocorrer quando um nome de arquivo malicioso é fornecido ao CompareTool, podendo levar à execução de comandos arbitrários.Recomendações
Para versões anteriores à 7.1.17, atualize para a versão 7.1.17 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à classe
GhostscriptHelper.java ou desativar a funcionalidade do CompareTool até que um patch seja aplicado. Evite usar nomes de arquivo potencialmente maliciosos com o CompareTool para minimizar o risco de exploração.Exploit
Correção
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ghostscript
Itext