Katalog CVE

CVE-2026-38970

Niskie ryzyko· EPSS 7%
Opublikowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.17%

Percentyl 7 — wyżej niż 7% wszystkich znanych CVE

Streszczenie

Podatność w bibliotece pdfcpu do wersji 0.11.1 powoduje odmowę usługi (DoS) przez niekontrolowaną rekurencję w parserze PDF. Funkcje ParseObjectContext() i parseArray() w pliku parse.go rekurencyjnie przetwarzają zagnieżdżone obiekty PDF bez ograniczenia głębokości zagnieżdżenia.

Ocena ryzyka

Atakujący może dostarczyć specjalnie spreparowany plik PDF z głęboko zagnieżdżonymi obiektami, co prowadzi do przepełnienia stosu i awarii aplikacji, powodując niedostępność usługi dla użytkowników.

Rekomendacja

Należy zaktualizować bibliotekę pdfcpu do wersji nowszej niż 0.11.1, która zawiera poprawkę ograniczającą głębokość rekurencji. Jeśli aktualizacja nie jest możliwa, należy wdrożyć walidację wejściową plików PDF przed ich przetworzeniem.

Oryginalny opis (angielski, źródło NVD)

pdfcpu through v0.11.1 contains an uncontrolled-recursion denial-of-service issue in pkg/pdfcpu/model/parse.go. The parser descends recursively through nested PDF objects, including arrays, via ParseObjectContext() and parseArray() without enforcing a maximum nesting depth.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS