ALT-PU-2025-14927-1 — poppler-current

BDU:2025-06076

MEDIUM4.3

Уязвимость компонента adbe.pkcs7.sha1 библиотеки для отображения PDF-файлов Poppler, позволяющая нарушителю выполнить атаку методом подмены

Published: 2025-05-28Modified: 2026-02-16

CVSS 3.xMEDIUM 4.3

CVSS:3.x/AV:L/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:N

CVSS 2.0LOW 2.1

CVSS:2.0/AV:L/AC:L/Au:N/C:N/I:P/A:N

References

CVE-2025-43903

BDU:2025-06077

MEDIUM4.0

Уязвимость библиотеки для отображения PDF-файлов Poppler, связанная с целочисленным переполнением, позволяющая нарушителю вызвать отказ в обслуживании

Published: 2025-05-28Modified: 2026-03-04

CVSS 3.xMEDIUM 4.0

CVSS:3.x/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

CVSS 2.0LOW 2.1

CVSS:2.0/AV:L/AC:L/Au:N/C:N/I:N/A:P

References

CVE-2025-32364

BDU:2025-06078

MEDIUM4.0

Уязвимость библиотеки для отображения PDF-файлов Poppler, связанная с чтением за границами буфера памяти в функции JBIG2Bitmap::combine(), позволяющая нарушителю вызвать отказ в обслуживании

Published: 2025-05-28Modified: 2026-03-04

CVSS 3.xMEDIUM 4.0

CVSS:3.x/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

CVSS 2.0LOW 2.1

CVSS:2.0/AV:L/AC:L/Au:N/C:N/I:N/A:P

References

CVE-2025-32365

BDU:2025-10661

MEDIUM6.5

Уязвимость утилиты pdfseparate библиотеки для отображения PDF-файлов Poppler, позволяющая нарушителю вызвать отказ в обслуживании

Published: 2025-09-03Modified: 2026-03-11

CVSS 3.xMEDIUM 6.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

CVSS 2.0HIGH 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C

References

CVE-2025-50420

BDU:2025-11228

MEDIUM6.2

Уязвимость библиотеки для отображения PDF-файлов Poppler, связанная с использованием памяти после ее освобождения, позволяющая нарушителю выполнить произвольный код

Published: 2025-09-17Modified: 2026-02-16

CVSS 3.xMEDIUM 6.2

CVSS:3.x/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 2.0MEDIUM 4.9

CVSS:2.0/AV:L/AC:L/Au:N/C:N/I:N/A:C

References

CVE-2025-52886

CVE-2025-32364

MEDIUM5.5

A floating-point exception in the PSStack::roll function of Poppler before 25.04.0 can cause an application to crash when handling malformed inputs associated with INT_MIN.

Published: 2025-04-05Modified: 2025-11-03

CVSS 3.xMEDIUM 5.5

CVSS:3.x/CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

References

CVE-2025-32365

HIGH7.1

Poppler before 25.04.0 allows crafted input files to trigger out-of-bounds reads in the JBIG2Bitmap::combine function in JBIG2Stream.cc because of a misplaced isOk check.

Published: 2025-04-05Modified: 2025-11-03

CVSS 3.xHIGH 7.1

CVSS:3.x/CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:H

References

CVE-2025-43903

LOW3.3

NSSCryptoSignBackend.cc in Poppler before 25.04.0 does not verify the adbe.pkcs7.sha1 signatures on documents, resulting in potential signature forgeries.

Published: 2025-04-18Modified: 2025-10-06

CVSS 3.xLOW 3.3

CVSS:3.x/CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

References

https://gitlab.freedesktop.org/poppler/poppler/-/commit/f1b9c830f145a0042e853d6462b2f9ca4016c669

CVE-2025-50420

MEDIUM6.5

An issue in the pdfseparate utility of freedesktop poppler v25.04.0 allows attackers to cause an infinite recursion via supplying a crafted PDF file. This can lead to a Denial of Service (DoS).

Published: 2025-08-04Modified: 2025-10-09

CVSS 3.xMEDIUM 6.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

References

CVE-2025-52886

MEDIUM5.5

Poppler is a PDF rendering library. Versions prior to 25.06.0 use `std::atomic_int` for reference counting. Because `std::atomic_int` is only 32 bits, it is possible to overflow the reference count and trigger a use-after-free. Version 25.06.0 patches the issue.

Published: 2025-07-02Modified: 2025-11-04

CVSS 3.xMEDIUM 5.9

CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 4.0MEDIUM 5.5

CVSS:4.0/CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:P/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

References

Package update poppler-current in branch sisyphus_e2k

Closed issues (10)

Уязвимость компонента adbe.pkcs7.sha1 библиотеки для отображения PDF-файлов Poppler, позволяющая нарушителю выполнить атаку методом подмены

Уязвимость библиотеки для отображения PDF-файлов Poppler, связанная с целочисленным переполнением, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость утилиты pdfseparate библиотеки для отображения PDF-файлов Poppler, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость библиотеки для отображения PDF-файлов Poppler, связанная с использованием памяти после ее освобождения, позволяющая нарушителю выполнить произвольный код

A floating-point exception in the PSStack::roll function of Poppler before 25.04.0 can cause an application to crash when handling malformed inputs associated with INT_MIN.

Poppler before 25.04.0 allows crafted input files to trigger out-of-bounds reads in the JBIG2Bitmap::combine function in JBIG2Stream.cc because of a misplaced isOk check.

NSSCryptoSignBackend.cc in Poppler before 25.04.0 does not verify the adbe.pkcs7.sha1 signatures on documents, resulting in potential signature forgeries.

An issue in the pdfseparate utility of freedesktop poppler v25.04.0 allows attackers to cause an infinite recursion via supplying a crafted PDF file. This can lead to a Denial of Service (DoS).

Poppler is a PDF rendering library. Versions prior to 25.06.0 use `std::atomic_int` for reference counting. Because `std::atomic_int` is only 32 bits, it is possible to overflow the reference count and trigger a use-after-free. Version 25.06.0 patches the issue.