veraPDF CLI 中的潜在 XXE(XML 外部实体注入)漏洞(CVE-2024-52800)
CVE编号
CVE-2024-52800
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-30
漏洞描述
好的,以下是针对您给出的漏洞描述的中文描述:veraPDF是一个开源的PDF/A验证库。通过命令行界面使用自定义的Schematron文件执行策略检查会触发一个理论上可能导致远程代码执行(RCE)漏洞的XSLT转换。但这并不影响veraPDF的标准验证和策略检查功能,即其常规使用场景。大部分veraPDF用户不会在策略配置文件中插入任何自定义的XSLT代码,这些策略配置文件是基于Schematron语法而非直接的XSL转换。对于确实需要插入自定义XSLT代码的用户,建议仅从可信任的来源加载自定义策略文件。目前,这个问题还没有被修复。建议用户在可用补丁发布之前谨慎处理XSLT代码。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论