Vulnerabilidad en PDF-XChange (CVE-2025-6660)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-122
Desbordamiento de búfer basado en memoria dinámica (Heap)
Fecha de publicación:
25/06/2025
Última modificación:
07/07/2025
Descripción
Vulnerabilidad de ejecución remota de código por desbordamiento de búfer basado en montón en el análisis de archivos GIF del editor PDF-XChange. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas del editor PDF-XChange. Para explotar esta vulnerabilidad, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica se encuentra en el análisis de archivos GIF. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos a un búfer basado en montón de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-26763.
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:pdf-xchange:pdf-tools:10.5.2.395:*:*:*:*:*:*:* | ||
cpe:2.3:a:pdf-xchange:pdf-xchange_editor:10.5.2.395:*:*:*:*:*:*:* | ||
cpe:2.3:a:pdf-xchange:pdf-xchange_pro:10.5.2.395:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página