PT-2022-7124 · Pypi+1 · Pypdf2+1
Martinthoma
·
Publicado
2022-09-07
·
Atualizado
2023-07-10
·
CVE-2023-36807
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do PyPDF2 anteriores à 2.10.6
Descrição
O problema está relacionado a uma biblioteca de PDF escrita inteiramente em Python, capaz de dividir, mesclar, recortar e transformar as páginas de arquivos PDF. Um invasor pode criar um PDF que leve a um loop infinito, bloqueando o processo atual e utilizando 100% de um único núcleo da CPU. Isso não afeta o uso de memória. Por exemplo, isso pode ocorrer quando um usuário extrai metadados de um PDF malformado. O loop infinito pode ser acionado quando a função
read object em PyPDF2/generic/ data structures.py é chamada.Recomendações
Para resolver o problema, atualize para a versão 2.10.6 ou posterior.
Se a atualização não for possível, modifique
PyPDF2/generic/ data structures.py::read object para gerar um erro ao encontrar um objeto elementar inválido, substituindo o código existente pelo patch fornecido.Exploit
Correção
Infinite Loop
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Astra Linux
Pypdf2