PT-2022-20158 · Xpdf+1 · Xpdf+1
H00K1998
·
Publicado
2022-05-09
·
Atualizado
2024-08-08
·
CVE-2022-30524
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Xpdf versão 4.0.4
Descrição
O problema é causado por um acesso inválido à memória na classe TextLine em TextOutputDev.cc. Isso ocorre porque o extrator de texto processa incorretamente caracteres em coordenadas y elevadas. A vulnerabilidade pode ser acionada pelo envio de um arquivo PDF malicioso ao binário pdftotext, permitindo que um invasor remoto cause uma negação de serviço (falha de segmentação) ou possivelmente tenha outros impactos não especificados.
Recomendações
Para a versão 4.0.4 do Xpdf, considere evitar o uso do binário pdftotext com arquivos PDF não confiáveis até que um patch esteja disponível. Como solução alternativa temporária, restrinja o acesso ao módulo TextOutputDev.cc para minimizar o risco de exploração.
Exploit
Correção
DoS
Memory Corruption
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Xpdf