py-pdf pypdf bis 6.9.x XMP Metadata erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.1 | $0-$5k | 1.91 |
Zusammenfassung
In py-pdf pypdf bis 6.9.x wurde eine problematische Schwachstelle ausgemacht. Dabei betrifft es einen unbekannter Codeteil der Komponente XMP Metadata Handler. Durch die Manipulation mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Diese Schwachstelle trägt die Bezeichnung CVE-2026-40260. Der Angriff kann über das Netzwerk passieren. Es gibt keinen verfügbaren Exploit. Die Aktualisierung der betroffenen Komponente wird empfohlen.
Details
Eine problematische Schwachstelle wurde in py-pdf pypdf bis 6.9.x entdeckt. Betroffen davon ist ein unbekannter Prozess der Komponente XMP Metadata Handler. Mittels Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-776. Das hat Auswirkungen auf die Verfügbarkeit. CVE fasst zusammen:
pypdf is a free and open-source pure-python PDF library. In versions prior to 6.10.0, manipulated XMP metadata entity declarations can exhaust RAM. An attacker who exploits this vulnerability can craft a PDF which leads to large memory usage. This requires parsing the XMP metadata. This issue has been fixed in version 6.10.0.Das Advisory kann von github.com heruntergeladen werden. Die Identifikation der Schwachstelle findet seit dem 10.04.2026 als CVE-2026-40260 statt. Sie ist leicht ausnutzbar. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 307345 (Linux Distros Unpatched Vulnerability : CVE-2026-40260) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.
Ein Upgrade auf die Version 6.10.0 vermag dieses Problem zu beheben. Eine neue Version kann von github.com bezogen werden. Die Schwachstelle lässt sich auch durch das Einspielen des Patches b15a374e5ca648d4878e57c3b2c0551e7f8cc7f8 beheben. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von Tenable (307345) dokumentiert. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Produkt
Hersteller
Name
Version
Lizenz
Webseite
- Produkt: https://github.com/py-pdf/pypdf/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vector: 🔒
CVSSv3
VulDB Meta Base Score: 4.3VulDB Meta Temp Score: 4.1
VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-776
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 307345
Nessus Name: Linux Distros Unpatched Vulnerability : CVE-2026-40260
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: pypdf 6.10.0
Patch: b15a374e5ca648d4878e57c3b2c0551e7f8cc7f8
Timeline
10.04.2026 CVE zugewiesen17.04.2026 Advisory veröffentlicht
17.04.2026 VulDB Eintrag erstellt
18.04.2026 VulDB Eintrag letzte Aktualisierung
Quellen
Produkt: github.comAdvisory: GHSA-3crg-w4f6-42mx
Status: Bestätigt
CVE: CVE-2026-40260 (🔒)
GCVE (CVE): GCVE-0-2026-40260
GCVE (VulDB): GCVE-100-357968
Eintrag
Erstellt: 17.04.2026 06:18Aktualisierung: 18.04.2026 05:34
Anpassungen: 17.04.2026 06:18 (38), 17.04.2026 06:19 (33), 18.04.2026 05:34 (2)
Komplett: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.