Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-02549

Опубликовано: 25 фев. 2026
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость библиотеки Python для работы с PDF файлами PyPDF связана с неконтролируемым расходом ресурсов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

PyPDF

Версия ПО

до 6.7.3 (PyPDF)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,5)
Средний уровень опасности (оценка CVSS 4.0 составляет 6,6)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/py-pdf/pypdf/commit/7a4c8246ed48d9d328fb596942271da47b6d109c
https://github.com/py-pdf/pypdf/pull/3658
https://github.com/py-pdf/pypdf/releases/tag/6.7.3
https://github.com/py-pdf/pypdf/security/advisories/GHSA-x7hp-r3qg-r3cj

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 15%
0.00048
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2026-27888

CVSS3: 7.5
ubuntu
30 дней назад

pypdf is a free and open-source pure-python PDF library. Prior to 6.7.3, an attacker who uses this vulnerability can craft a PDF which leads to the RAM being exhausted. This requires accessing the `xfa` property of a reader or writer and the corresponding stream being compressed using `/FlateDecode`. This has been fixed in pypdf 6.7.3. As a workaround, apply the patch manually.

redhat логотип

CVE-2026-27888

CVSS3: 5.3
redhat
30 дней назад

pypdf is a free and open-source pure-python PDF library. Prior to 6.7.3, an attacker who uses this vulnerability can craft a PDF which leads to the RAM being exhausted. This requires accessing the `xfa` property of a reader or writer and the corresponding stream being compressed using `/FlateDecode`. This has been fixed in pypdf 6.7.3. As a workaround, apply the patch manually.

nvd логотип

CVE-2026-27888

CVSS3: 7.5
nvd
30 дней назад

pypdf is a free and open-source pure-python PDF library. Prior to 6.7.3, an attacker who uses this vulnerability can craft a PDF which leads to the RAM being exhausted. This requires accessing the `xfa` property of a reader or writer and the corresponding stream being compressed using `/FlateDecode`. This has been fixed in pypdf 6.7.3. As a workaround, apply the patch manually.

debian логотип

CVE-2026-27888

CVSS3: 7.5
debian
30 дней назад

pypdf is a free and open-source pure-python PDF library. Prior to 6.7. ...

github логотип

GHSA-x7hp-r3qg-r3cj

github
29 дней назад

pypdf: Manipulated FlateDecode XFA streams can exhaust RAM

EPSS

Процентиль: 15%
0.00048
Низкий

7.5 High

CVSS3

7.8 High

CVSS2