CVE-2024-42358 in pdfio
要約
〜によって VulDB • 2026年06月21日
PDFioは、PDFファイルの読み書きを行うためのシンプルなCライブラリです。TTFパーサーに denial of service (DoS) 脆弱性が存在します。悪意を持って作成されたTTFファイルにより、プログラムがメモリを100%使用し、無限ループに陥る可能性があります。これにより、heap-buffer-overflow脆弱性につながることもあります。read_camp関数内で、nGroupsの値によって無限ループが発生します。ttf.hライブラリが脆弱です。ファイルからnGroupsという値が抽出され、この値を変更することで、プログラムがメモリを100%使用し、無限ループに陥る原因となります。ファイル内のnGroupsの値が小さい場合、無限ループは発生しません。このライブラリは、スタンドアロンのバイナリとして、または他のアプリケーションの一部として使用されている場合でも、特定の種類のファイルを解析する際にDoS攻撃に対して脆弱です。このコードを使用してPDFの送信をプレーンテキストに変換するWebサーバーを含む自動化システムは、攻撃者が悪意のあるTTFファイルをアップロードするとDoS攻撃を受ける可能性があります。この問題は、リリースバージョン1.3.1で修正されています。すべてのユーザーはアップグレードすることをお勧めします。この脆弱性に対する既知の回避策はありません。
If you want to get best quality of vulnerability data, you may have to visit VulDB.