PyPDF无限循环漏洞CVE-2025-62707技术分析
原创
PyPDF无限循环漏洞CVE-2025-62707技术分析
原创
qife122
发布于 2025-10-27 21:52:18
发布于 2025-10-27 21:52:18
CVE-2025-62707 - PyPDF在处理无EOF标记的DCT内联图像时可能出现无限循环
概述
CVE ID: CVE-2025-62707
CVSS 4.0评分: 6.6(中危)
远程利用: 是
漏洞描述
PyPDF是一个免费开源的纯Python PDF库。在6.1.3版本之前,攻击者可以利用此漏洞制作一个特制的PDF文件,导致无限循环。这需要解析包含使用DCTDecode过滤器的内联图像的页面内容流。该漏洞已在PyPDF 6.1.3版本中修复。
受影响产品
ID | 供应商 | 产品 | 操作 |
|---|---|---|---|
1 | Pypdf_project | pypdf |
总计受影响供应商: 1 | 产品: 1
漏洞时间线
- 发布日期: 2025年10月22日 22:15
- 最后修改: 2025年10月22日 22:15
CVSS评分详情
基础CVSS分数: 6.6
指标 | 值 |
|---|---|
攻击向量 | 网络 |
攻击复杂度 | 低 |
攻击要求 | 无 |
所需权限 | 无 |
用户交互 | 无 |
机密性影响 | 无 |
完整性影响 | 无 |
可用性影响 | 高 |
解决方案
- 将PyPDF更新到6.1.3或更高版本以修复无限循环漏洞
- 确保所有依赖项也已更新
- 重新编译和重新部署受影响的应用程序
公共PoC/漏洞利用
在Github上有1个公共PoC/漏洞利用可用。
参考链接
- https://github.com/py-pdf/pypdf/commit/f2864d6dd9bac7cecd3f4f54308b25ebbfa178f8
- https://github.com/py-pdf/pypdf/pull/3501
- https://github.com/py-pdf/pypdf/releases/tag/6.1.3
- https://github.com/py-pdf/pypdf/security/advisories/GHSA-vr63-x8vc-m265
CWE关联
CWE-834: 过度迭代
漏洞历史记录
动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
新增 | 描述 | PyPDF是一个免费开源的纯Python PDF库... | |
新增 | CVSS V4.0 | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H... | |
新增 | CWE | CWE-834 | |
新增 | 参考 | ||
新增 | 参考 | ||
新增 | 参考 | ||
新增 | 参考 |
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
评论
登录后参与评论
推荐阅读
目录
腾讯云开发者
