Vulnerabilidad en DjVuLibre (CVE-2025-53367)
Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-125
Lectura fuera de límites
Fecha de publicación:
03/07/2025
Última modificación:
08/07/2025
Descripción
DjVuLibre es una implementación GPL de DjVu, un formato web para distribuir documentos e imágenes. Antes de la versión 3.5.29, el método MMRDecoder::scanruns presentaba una vulnerabilidad de escritura fuera de banda (OOB), ya que no comprobaba que el puntero xr se mantuviera dentro de los límites del búfer asignado. Esto podía provocar escrituras fuera de la memoria asignada, lo que resultaba en una condición de corrupción del montón. Una lectura fuera de los límites con pr también era posible por la misma razón. Este problema se ha corregido en la versión 3.5.29.
Impacto
Puntuación base 4.0
8.40
Gravedad 4.0
ALTA
Referencias a soluciones, herramientas e información
- https://github.blog/security/vulnerability-research/cve-2025-53367-an-exploitable-out-of-bounds-write-in-djvulibre
- https://securitylab.github.com/advisories/GHSL-2025-055_DjVuLibre/
- https://sourceforge.net/p/djvu/djvulibre-git/ci/33f645196593d70bd5e37f55b63886c31c82c3da
- https://www.openwall.com/lists/oss-security/2025/07/03/1
- https://github.blog/security/vulnerability-research/cve-2025-53367-an-exploitable-out-of-bounds-write-in-djvulibre/