Vulnerabilidad en PDFio (CVE-2023-24808)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

07/02/2023

Última modificación:

07/11/2023

Descripción

PDFio es una librería C para leer y escribir archivos PDF. En versiones anteriores a la 1.1.0 existe una vulnerabilidad de denegación de servicio (DOS) en el analizador pdfio. Los archivos pdf creados pueden hacer que el programa se ejecute al 100% de utilización y nunca finalice. El pdf que causa este bloqueo encontrado en las pruebas tiene un tamaño de aproximadamente 28 kb y se descubrió mediante fuzzing. Cualquiera que utilice esta librería, ya sea como binario independiente o como librería, puede recibir DOS al intentar analizar este tipo de archivo. Los servidores web u otros procesos automatizados que dependen de este código para convertir los envíos de PDF en texto plano pueden recibir DOS cuando un atacante carga el PDF. Consulte el GHSA vinculado para ver un pdf de ejemplo. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto