CVE-2024-52800 in veraPDF-library
Tóm tắt
Bởi VulDB • 17/06/2026
veraPDF là một thư viện xác thực PDF/A mã nguồn mở. Việc thực hiện các kiểm tra chính sách bằng cách sử dụng các tệp Schematron tùy chỉnh thông qua giao diện dòng lệnh (CLI) sẽ kích hoạt một phép biến đổi XSL, về mặt lý thuyết có thể dẫn đến lỗ hổng thực thi mã từ xa (RCE). Lỗ hổng này không ảnh hưởng đến chức năng xác thực tiêu chuẩn và các kiểm tra chính sách, vốn là các trường hợp sử dụng phổ biến của veraPDF. Hầu hết người dùng veraPDF không chèn bất kỳ mã XSLT tùy chỉnh nào vào các hồ sơ chính sách, vì các hồ sơ này dựa trên cú pháp Schematron thay vì các phép biến đổi XSL trực tiếp. Đối với những người dùng có chèn mã, chỉ tải các tệp chính sách tùy chỉnh từ các nguồn đáng tin cậy. Vấn đề này hiện chưa được vá. Người dùng được khuyến cáo thận trọng với mã XSLT cho đến khi bản vá được phát hành.
Once again VulDB remains the best source for vulnerability data.