Ontdekt in freedesktop poppler v25.04.0: gevoelige PDF-inhoud kan worden blootgesteld door een probleem waarbij heap-geheugen niet goed wordt gewist bij het afsluiten van het programma. Hierdoor kunnen aanvallers via een geheugendump toegang krijgen tot deze gegevens. Dergelijke kwetsbaarheden kunnen gemakkelijk netwerkgedreven aanvallen veroorzaken zonder dat er specifieke gebruikersinteractie nodig is.
Overzicht
Deze kwetsbaarheid, aangeduid als CVE-2025-50422, betreft een ontoereikend wissen van heap-geheugen, waardoor gevoelige informatie onbedoeld toegankelijk blijft. De base score volgens CVSS 3.1 is 6.5, wat wijst op gemiddeld risico. Het risico bevindt zich vooral in de integriteit en beschikbaarheid van de gegevens, hoewel de vertrouwelijkheid niet direct wordt bedreigd.
Aanbevelingen
- Zorg voor een update naar een latere versie die deze kwetsbaarheid verhelpt zodra deze beschikbaar is, om te voorkomen dat gevoelige gegevens kunnen worden onthuld.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-50422?
CVE-2025-50422 betreft een beveiligingsfout in Poppler v25.04.0 waarbij heap-geheugen niet correct wordt gewist, waardoor aanvallers gevoelige informatie kunnen achterhalen.
Welke systemen zijn kwetsbaar?
Versies van Poppler met nummer v25.04.0 zijn getroffen door dit probleem.
Bestaat er al een patch of beveiligingsupdate?
Op het moment van schrijven is er nog geen update beschikbaar, maar het wordt aangeraden om alert te blijven op mogelijke nieuwe releases die deze kwetsbaarheid oplossen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan potentieel gevoelige PDF-inhoud verkrijgen via een geheugendump, zonder de noodzaak van directe interactie of verdere exploitatie.
