Katalog CVE

CVE-2025-71382

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.32%

Percentyl 23 — wyżej niż 23% wszystkich znanych CVE

Streszczenie

Podatność w bibliotece MuPDF przed wersją 1.27.0-rc1 umożliwia atakującemu zdalne spowodowanie odmowy usługi (DoS) poprzez dostarczenie spreparowanego pliku EPUB z głęboko zagnieżdżonymi elementami HTML i stylami CSS inline. Problem wynika z niekontrolowanej rekurencji w funkcji value_from_inheritable_property() w pliku css-apply.c, która przeszukuje łańcuch dziedziczenia właściwości CSS bez ograniczenia głębokości, co prowadzi do przepełnienia stosu procesu i awarii aplikacji używającej MuPDF do renderowania EPUB.

Ocena ryzyka

Ryzyko polega na możliwości zdalnego wykonania ataku DoS na dowolnej aplikacji wykorzystującej MuPDF do przetwarzania plików EPUB, co może zakłócić działanie usług lub systemów, szczególnie w środowiskach przetwarzających niezweryfikowane dokumenty.

Rekomendacja

Zaleca się natychmiastową aktualizację biblioteki MuPDF do wersji 1.27.0-rc1 lub nowszej, która zawiera poprawkę eliminującą niekontrolowaną rekurencję. W przypadku braku możliwości aktualizacji, należy wdrożyć walidację plików EPUB przed ich przetworzeniem, odrzucając dokumenty z nadmiernie zagnieżdżonymi elementami HTML.

Oryginalny opis (angielski, źródło NVD)

MuPDF before 1.27.0-rc1 contains an uncontrolled recursion vulnerability in the EPUB CSS rendering engine that allows remote attackers to cause a denial of service by supplying a maliciously crafted EPUB file with deeply nested HTML elements and inline CSS styles. The function value_from_inheritable_property() in css-apply.c recurses through the CSS property inheritance chain without a depth limit, exhausting the process stack and causing a crash in any application using MuPDF for EPUB rendering.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS