Fallos de seguridad en Pdfio de Michaelrsweet. Errores de EVE Ship Replacement Program.

Vulnerabilidad CVE-2023-24808 de Pdfio de Michaelrsweet. Lista CVE de vulnerabilidade de Pdfio de Michaelrsweet.

PDFio es una biblioteca C para leer y escribir archivos PDF

20 de marzo del 2023

CVE-2023-28428 : En las versiones 1.1.0 y anteriores, existe una vulnerabilidad de denegación de servicio en el analizador pdfio. Los archivos pdf creados pueden hacer que el programa se ejecute al 100 % y no termine nunca. Esto es diferente de CVE-2023-24808. Un parche para este problema está disponible en la versión 1.1.1

6 de febrero del 2023

CVE-2023-24808: En versiones anteriores a la 1.1.0, existe una vulnerabilidad de denegación de servicio (DOS) en el analizador pdfio. Los archivos pdf creados pueden hacer que el programa se ejecute al 100 % y no termine nunca. El pdf que causa este bloqueo encontrado en las pruebas tiene un tamaño aproximado de 28 kb y se descubrió a través de fuzzing. Cualquiera que use esta biblioteca, ya sea como un binario independiente o como una biblioteca, puede recibir un DOS al intentar analizar este tipo de archivo.
Los servidores web u otros procesos automatizados que dependen de este código para convertir los envíos de pdf en texto sin formato pueden ser DOS cuando un atacante carga el pdf.
Consulte el enlace GHSA para ver un pdf de ejemplo. Se recomienda a los usuarios que actualicen. No hay soluciones alternativas conocidas para esta vulnerabilidad.

CVE-2023-24808: https://github.com/michaelrsweet/pdfio/commit/4f10021e7ee527c1aa24853e2947e38e154d9ccb y https://github.com/michaelrsweet/pdfio/security/advisories/GHSA-cjc4-x96x-fvgf

Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️

Fecha actualización el 2023-03-24. Fecha publicación el 2023-02-09. Autor: Oscar olg Mapa del sitio Fuente: cve report