漏洞详情
概述
pypdf库存在一个中等严重程度的漏洞(CVE-2025-62708),攻击者可以通过精心构造的PDF文件中的LZWDecode流导致内存大量消耗。
影响版本
- 受影响版本:< 6.1.3
- 已修复版本:6.1.3
技术细节
影响分析
攻击者利用此漏洞可以制作特殊的PDF文件,当解析使用LZWDecode过滤器的页面内容流时,会导致大量内存使用。
修复方案
该漏洞已在pypdf 6.1.3版本中修复。
临时解决方案
如果无法立即升级,可以考虑应用PR #3502中的更改。
参考信息
- GHSA ID: GHSA-jfx9-29x2-rv3j
- 相关链接:
- py-pdf/pypdf#3502
- py-pdf/pypdf@e51d078
- nvd.nist.gov/vuln/detail…
- github.com/py-pdf/pypd…
安全评分
CVSS总体评分
6.6/10(中等严重程度)
CVSS v4基础指标
可利用性指标:
- 攻击向量:网络
- 攻击复杂度:低
- 攻击要求:无
- 所需权限:无
- 用户交互:无
脆弱系统影响指标:
- 机密性:无影响
- 完整性:无影响
- 可用性:高影响
弱点分类
CWE-409: 对高压缩数据的处理不当(数据放大) 产品未能正确处理或错误处理具有极高压缩比且产生大量输出的压缩输入。
致谢
- 报告者:tylzh97
- 分析师:stefan6419846
