CVE-2025-62707 - PyPDF在处理无EOF标记的DCT内联图像时可能出现无限循环
概述
CVE ID: CVE-2025-62707
CVSS 4.0评分: 6.6(中危)
远程利用: 是
漏洞描述
PyPDF是一个免费开源的纯Python PDF库。在6.1.3版本之前,攻击者可以利用此漏洞制作一个特制的PDF文件,导致无限循环。这需要解析包含使用DCTDecode过滤器的内联图像的页面内容流。该漏洞已在PyPDF 6.1.3版本中修复。
受影响产品
| ID | 供应商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Pypdf_project | pypdf |
总计受影响供应商: 1 | 产品: 1
漏洞时间线
- 发布日期: 2025年10月22日 22:15
- 最后修改: 2025年10月22日 22:15
CVSS评分详情
基础CVSS分数: 6.6
| 指标 | 值 |
|---|---|
| 攻击向量 | 网络 |
| 攻击复杂度 | 低 |
| 攻击要求 | 无 |
| 所需权限 | 无 |
| 用户交互 | 无 |
| 机密性影响 | 无 |
| 完整性影响 | 无 |
| 可用性影响 | 高 |
解决方案
- 将PyPDF更新到6.1.3或更高版本以修复无限循环漏洞
- 确保所有依赖项也已更新
- 重新编译和重新部署受影响的应用程序
公共PoC/漏洞利用
在Github上有1个公共PoC/漏洞利用可用。
参考链接
- https://github.com/py-pdf/pypdf/commit/f2864d6dd9bac7cecd3f4f54308b25ebbfa178f8
- https://github.com/py-pdf/pypdf/pull/3501
- https://github.com/py-pdf/pypdf/releases/tag/6.1.3
- https://github.com/py-pdf/pypdf/security/advisories/GHSA-vr63-x8vc-m265
CWE关联
CWE-834: 过度迭代
漏洞历史记录
| 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 新增 | 描述 | PyPDF是一个免费开源的纯Python PDF库... | |
| 新增 | CVSS V4.0 | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H... | |
| 新增 | CWE | CWE-834 | |
| 新增 | 参考 | https://github.com/py-pdf/pypdf/commit/f2864d6dd9bac7cecd3f4f54308b25ebbfa178f8 | |
| 新增 | 参考 | https://github.com/py-pdf/pypdf/pull/3501 | |
| 新增 | 参考 | https://github.com/py-pdf/pypdf/releases/tag/6.1.3 | |
| 新增 | 参考 | https://github.com/py-pdf/pypdf/security/advisories/GHSA-vr63-x8vc-m265 | |
| 更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手) | |||
| 对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享) |
公众号二维码
公众号二维码
