Vulnerabilidad en Pdfminer.six (CVE-2025-64512)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
10/11/2025
Última modificación:
31/12/2025
Descripción
Pdfminer.six es una bifurcación mantenida por la comunidad del PDFMiner original, una herramienta para extraer información de documentos PDF. Antes de la versión 20251107, pdfminer.six ejecutará código arbitrario de un archivo pickle malicioso si se le proporciona un archivo PDF malicioso. La función 'CMapDB._load_data()' en pdfminer.six utiliza 'pickle.loads()' para deserializar archivos pickle. Se supone que estos archivos pickle forman parte de la distribución de pdfminer.six almacenada en el directorio 'cmap/', pero un PDF malicioso puede especificar un directorio y nombre de archivo alternativos siempre que el nombre de archivo termine en '.pickle.gz'. Un archivo pickle malicioso y comprimido puede entonces contener código que se ejecutará automáticamente cuando se procese el PDF. La versión 20251107 corrige el problema.
Impacto
Puntuación base 3.x
8.60
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:pdfminer:pdfminer.six:*:*:*:*:*:*:*:* | 2025-11-07 (excluyendo) | |
| cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/pdfminer/pdfminer.six/commit/b808ee05dd7f0c8ea8ec34bdf394d40e63501086
- https://github.com/pdfminer/pdfminer.six/releases/tag/20251107
- https://github.com/pdfminer/pdfminer.six/security/advisories/GHSA-wf5f-4jwr-ppcp
- https://lists.debian.org/debian-lts-announce/2025/11/msg00017.html
- https://github.com/pdfminer/pdfminer.six/security/advisories/GHSA-wf5f-4jwr-ppcp