PT-2022-4365 · Qpdf+3 · Qpdf+3

Chingggo

·

Publicado

2019-09-03

·

Atualizado

2024-08-09

·

CVE-2022-34503

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
QPDF versão v8.4.2
Descrição
O problema está relacionado a um estouro de buffer de heap por meio da função QPDF::processXRefStream. Isso permite que invasores provoquem uma negação de serviço (DoS) por meio de um arquivo PDF malicioso. A vulnerabilidade está associada à falta de liberação de recursos após o período válido de exploração.
Recomendações
Para a versão v8.4.2 do QPDF, considere desativar a função QPDF::processXRefStream até que um patch esteja disponível para evitar possíveis ataques de Negação de Serviço (DoS) por meio de arquivos PDF maliciosos. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

DoS

Memory Corruption

Missing Release of Resource after Effective Lifetime

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-787CWE-772

Identificadores relacionados

ALT-PU-2019-2616
BDU:2022-05225
CVE-2022-34503
OESA-2024-1965
OESA-2024-1966
OESA-2024-1967
OESA-2024-1968
OPENSUSE-SU-2022_2670-1
SUSE-SU-2022:2669-1
SUSE-SU-2022:2670-1

Produtos afetados

Alt Linux
Astra Linux
Qpdf
Suse