Er is een belangrijk beveiligingslek ontdekt in Artifex mupdf versies 1.25.6 en 1.25.5. Deze kwetsbaarheid, aangeduid als CVE-2025-46206, kan door een externe aanvaller worden misbruikt om een denial of service te veroorzaken door middel van een oneindige recursie in de mutool clean-functie. Dit gebeurt bij de verwerking van een kwaadaardig PDF-bestand met cyclische /Next-verwijzingen in de inhoudsopgavestructuur.
Overzicht
De kwetsbaarheid ligt in de strip_outline()-functie die in een oneindige recursieve lus terechtkomt. Dit leidt tot ongecontroleerde bronnenconsumptie, aangeduid als CWE-400, wat de beschikbaarheid aanzienlijk kan beïnvloeden.
Aanbevelingen
- Vermijd het verwerken van onbekende of niet-vertrouwde PDF-bestanden met de
mutool clean-functie. - Controleer regelmatig de officiële websites van Artifex en MuPDF voor beschikbare patches of updates die dit probleem verhelpen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-46206?
CVE-2025-46206 is een beveiligingslek in de mutool clean-functie van Artifex mupdf die kan leiden tot een denial of service door een oneindige recursie.
Welke systemen zijn kwetsbaar voor CVE-2025-46206?
Artifex mupdf versies 1.25.6 en 1.25.5 zijn kwetsbaar voor deze specifieke aanval.
Bestaat er al een patch of beveiligingsupdate?
Het is aanbevolen om de genoemde bronnen te controleren voor eventuele updates of patches.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan een systeem overbelasten door het veroorzaken van oncontroleerde bronnenconsumptie, wat kan leiden tot het uitvallen van de service.
