Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en PDF-XChange (CVE-2025-6660)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-122 Desbordamiento de búfer basado en memoria dinámica (Heap)
Fecha de publicación:
25/06/2025
Última modificación:
07/07/2025

Descripción

Vulnerabilidad de ejecución remota de código por desbordamiento de búfer basado en montón en el análisis de archivos GIF del editor PDF-XChange. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas del editor PDF-XChange. Para explotar esta vulnerabilidad, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica se encuentra en el análisis de archivos GIF. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos a un búfer basado en montón de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-26763.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:pdf-xchange:pdf-tools:10.5.2.395:*:*:*:*:*:*:*
cpe:2.3:a:pdf-xchange:pdf-xchange_editor:10.5.2.395:*:*:*:*:*:*:*
cpe:2.3:a:pdf-xchange:pdf-xchange_pro:10.5.2.395:*:*:*:*:*:*:*