CVE-2024-42358 in pdfioinformación

Resumen

por MITRE • 2024-08-06

PDFio es una librería C sencilla para leer y escribir archivos PDF. Hay una vulnerabilidad de denegación de servicio (DOS) en el analizador TTF. Los archivos TTF creados con fines malintencionados pueden hacer que el programa utilice el 100 % de la memoria y entre en un bucle infinito. Esto también puede provocar una vulnerabilidad de desbordamiento del búfer del montón. Se produce un bucle infinito en la función read_camp por el valor de nGroups. La librería ttf.h es vulnerable. Se extrae del archivo un valor llamado nGroups y, al cambiar ese valor, puede hacer que el programa utilice el 100% de la memoria e ingrese en un bucle infinito. Si el valor de nGroups en el archivo es pequeño, no se producirá un bucle infinito. Esta librería, ya sea que se use como binario independiente o como parte de otra aplicación, es vulnerable a ataques de DOS al analizar ciertos tipos de archivos. Los sistemas automatizados, incluidos los servidores web que utilizan este código para convertir envíos de PDF en texto plano, pueden recibir DOS si un atacante carga un archivo TTF malicioso. Este problema se solucionó en la versión 1.3.1. Se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub M

Reservar

2024-07-30

Divulgación

2024-08-06

Moderación

aceptado

Artículo

VDB-273776

CPE

listo

EPSS

0.00321

KEV

no

Actividades

muy bajo

Fuentes

Interested in the pricing of exploits?

See the underground prices here!