Vulnerabilidad en un documento PDF en el archivo DCTStream.cc en la función DCTStream::getChars en Poppler (CVE-2020-35702)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-787
Escritura fuera de límites
Fecha de publicación:
25/12/2020
Última modificación:
04/08/2024
Descripción
** EN DISPUTA ** La función DCTStream::getChars en el archivo DCTStream.cc en Poppler versión 20.12.1, presenta un desbordamiento del búfer en la región stack de la memoria por medio de un documento PDF diseñado. NOTA: informes posteriores indican que esto sólo afecta a las construcciones de los clones de git de Poppler a finales de diciembre de 2020, no a la versión 20.12.1. En esta situación, NO debe considerarse una vulnerabilidad del Poppler. Sin embargo, varios proyectos de código abierto de terceros dependen directamente de clones de git Poppler hechos en momentos arbitrarios, y por lo tanto el CVE sigue siendo útil para los usuarios de esos proyectos
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:freedesktop:poppler:20.12.1:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página