CVE-2024-52800 in veraPDF-librarythông tin

Tóm tắt

Bởi VulDB • 17/06/2026

veraPDF là một thư viện xác thực PDF/A mã nguồn mở. Việc thực hiện các kiểm tra chính sách bằng cách sử dụng các tệp Schematron tùy chỉnh thông qua giao diện dòng lệnh (CLI) sẽ kích hoạt một phép biến đổi XSL, về mặt lý thuyết có thể dẫn đến lỗ hổng thực thi mã từ xa (RCE). Lỗ hổng này không ảnh hưởng đến chức năng xác thực tiêu chuẩn và các kiểm tra chính sách, vốn là các trường hợp sử dụng phổ biến của veraPDF. Hầu hết người dùng veraPDF không chèn bất kỳ mã XSLT tùy chỉnh nào vào các hồ sơ chính sách, vì các hồ sơ này dựa trên cú pháp Schematron thay vì các phép biến đổi XSL trực tiếp. Đối với những người dùng có chèn mã, chỉ tải các tệp chính sách tùy chỉnh từ các nguồn đáng tin cậy. Vấn đề này hiện chưa được vá. Người dùng được khuyến cáo thận trọng với mã XSLT cho đến khi bản vá được phát hành.

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

15/11/2024

Tiết lộ

29/11/2024

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

rất thấp

Nguồn

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!