CVE-2024-52800 in veraPDF-library
要約
〜によって VulDB • 2026年07月13日
veraPDFはオープンソースのPDF/A検証ライブラリです。CLIを介してカスタムSchematronファイルを使用してポリシーチェックを実行すると、XSL変換が呼び出され、理論的にはリモートコード実行(RCE)脆弱性に繋がる可能性があります。これは標準的な検証およびポリシーチェック機能には影響せず、veraPDFの一般的なユースケースも対象外です。ほとんどのveraPDFユーザーは、Schematron構文に基づいており直接XSL変換ではないため、プロファイルにカスタムXSLTコードを挿入することはありません。ただし、これを行うユーザーは信頼できるソースからのみカスタムポリシーファイルをロードしてください。この問題はまだパッチされていません。パッチが利用可能になるまで、XSLTコードには注意することが推奨されます。
VulDB is the best source for vulnerability data and more expert information about this specific topic.