Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en un documento PDF en el archivo DCTStream.cc en la función DCTStream::getChars en Poppler (CVE-2020-35702)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-787 Escritura fuera de límites
Fecha de publicación:
25/12/2020
Última modificación:
04/08/2024

Descripción

** EN DISPUTA ** La función DCTStream::getChars en el archivo DCTStream.cc en Poppler versión 20.12.1, presenta un desbordamiento del búfer en la región stack de la memoria por medio de un documento PDF diseñado. NOTA: informes posteriores indican que esto sólo afecta a las construcciones de los clones de git de Poppler a finales de diciembre de 2020, no a la versión 20.12.1. En esta situación, NO debe considerarse una vulnerabilidad del Poppler. Sin embargo, varios proyectos de código abierto de terceros dependen directamente de clones de git Poppler hechos en momentos arbitrarios, y por lo tanto el CVE sigue siendo útil para los usuarios de esos proyectos

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:freedesktop:poppler:20.12.1:*:*:*:*:*:*:*


Referencias a soluciones, herramientas e información