CVE-2025-46206

چکیده

یک آسیب پذیری با شدت بالا در MuPDF نسخه 1.25.6 و پیش از آن به دلیل بازگشت بی پایان در ابزار mutool clean شناسایی شده است که امکان انکار سرویس  (DoS)را فراهم می‌کند.

توضیحات

یک آسیب‌پذیری از نوع عدم کنترل مصرف منابع (CWE-400) در نرم‌افزار Artifex MuPDF نسخه‌های 1.25.5 و 1.25.6 شناسایی شده است که به مهاجم از راه دور اجازه می‌دهد با ارائه یک فایل PDF دست‌کاری‌شده، موجب اختلال در سرویس (DoS) شود.  این ضعف امنیتی در ابزار mutool clean رخ می‌دهد؛ به‌ویژه زمانی‌که فایل ورودی PDF شامل ارجاعات چرخشی (cyclic references) در فیلد /Next مربوط به ساختار outline باشد. در چنین حالتی، توابع strip_outlines() وstrip_outline()  وارد فراخوانی‌های بازگشتی بی‌پایان می‌شوند که در نهایت باعث تخلیه پشته (stack exhaustion) و توقف عملکرد برنامه می‌گردد.

نکته قابل توجه این است که بهره‌برداری از این آسیب‌پذیری نیاز به تعامل کاربر ندارد و می‌تواند به‌صورت کاملاً از راه دور انجام شود. چنین عملکردی می‌تواند موجب از کار افتادن برنامه یا مصرف بیش از حد منابع سیستم هدف گردد.

این آسیب پذیری در commit رسمی مخزن پروژه پچ شده و فایل اثبات مفهومی (PoC)، به همراه جزئیات فرآیند بازتولید و پیشنهادهای پچ، در گزارش باگ عمومی در دسترس قرار گرفته است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

نتیجه گیری

به کاربران و توسعه‌دهندگان توصیه می‌شود در اسرع وقت به نسخه پچ‌شده MuPDF به‌روزرسانی کنند و از استفاده از فایل‌های PDF نامطمئن در ابزار mutool clean خودداری نمایند.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-46206
2. https://www.cvedetails.com/cve/CVE-2025-46206/
3. https://github.com/Landw-hub/CVE-2025-46206
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-46206
5. https://vuldb.com/?id.318702
6. https://bugs.ghostscript.com/show_bug.cgi?id=708521
7. https://cgit.ghostscript.com/cgi-bin/cgit.cgi/mupdf.git/commit/?id=0ec7e4d2201bb6df217e01c17396d36297abf9ac
8. https://bugs.ghostscript.com/attachment.cgi?id=26770
9. https://cwe.mitre.org/data/definitions/400.html