PT-2024-5149 · Artifex+3 · Artifex Ghostscript+3
Thomas Rinsma
·
Publicado
2024-07-03
·
Atualizado
2025-10-28
·
CVE-2024-29511
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Artifex Ghostscript anteriores à 10.03.1
Descrição
O pacote de software Ghostscript contém uma vulnerabilidade de traversal de diretório ao utilizar o Tesseract para reconhecimento óptico de caracteres (OCR). Isso permite a leitura e gravação de arquivos arbitrários, bem como a gravação de mensagens de erro em arquivos arbitrários, por meio do parâmetro
OCRLanguage. Especificamente, a exploração pode ocorrer por meio dos parâmetros debug file e user patterns file. Os pontos de extremidade da API potencialmente envolvidos são aqueles que utilizam a funcionalidade de OCR. Os parâmetros vulneráveis são debug file e user patterns file.Recomendações
As versões anteriores à 10.03.1 devem ser atualizadas para a versão 10.03.1 ou posterior.
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Artifex Ghostscript
Debian
Linuxmint
Ubuntu