CVE-2022-36561
https://notcve.org/view.php?id=CVE-2022-36561
XPDF v4.0.4 was discovered to contain a segmentation violation via the component /xpdf/AcroForm.cc:538. Se ha detectado que XPDF versión v4.0.4, contiene una violación de segmentación por medio del componente /xpdf/AcroForm.cc:538 • https://forum.xpdfreader.com/viewtopic.php?f=3&t=42308 •
CVE-2022-38171
https://notcve.org/view.php?id=CVE-2022-38171
Xpdf prior to version 4.04 contains an integer overflow in the JBIG2 decoder (JBIG2Stream::readTextRegionSeg() in JBIG2Stream.cc). Processing a specially crafted PDF file or JBIG2 image could lead to a crash or the execution of arbitrary code. This is similar to the vulnerability described by CVE-2021-30860 (Apple CoreGraphics). Xpdf versiones anteriores a 4.04, contiene un desbordamiento de enteros en el decodificador JBIG2 (la función JBIG2Stream::readSymbolDictSeg() en el archivo JBIG2Stream.cc). El procesamiento de un archivo PDF o una imagen JBIG2 especialmente diseñados podría conllevar a un fallo o una ejecución de código arbitrario. • http://www.openwall.com/lists/oss-security/2022/09/02/11 http://www.xpdfreader.com/security-fixes.html https://dl.xpdfreader.com/xpdf-4.04.tar.gz https://github.com/jeffssh/CVE-2021-30860 https://github.com/zmanion/Vulnerabilities/blob/main/CVE-2022-38171.md https://googleprojectzero.blogspot.com/2021/12/a-deep-dive-into-nso-zero-click.html https://www.cve.org/CVERecord?id=CVE-2021-30860 • CWE-190: Integer Overflow or Wraparound •
CVE-2022-38222
https://notcve.org/view.php?id=CVE-2022-38222
There is a use-after-free issue in JBIG2Stream::close() located in JBIG2Stream.cc in Xpdf 4.04. It can be triggered by sending a crafted PDF file to (for example) the pdfimages binary. It allows an attacker to cause Denial of Service or possibly have unspecified other impact. Se presenta un problema de uso de memoria previamente liberada en la función JBIG2Stream::close() ubicado en el archivo JBIG2Stream.cc en Xpdf 4.04. Puede desencadenarse mediante el envío de un archivo PDF diseñado a (por ejemplo) el binario pdfimages. • https://forum.xpdfreader.com/viewtopic.php?f=3&t=42320 • CWE-416: Use After Free •
CVE-2022-33108
https://notcve.org/view.php?id=CVE-2022-33108
XPDF v4.04 was discovered to contain a stack overflow vulnerability via the Object::Copy class of object.cc files. Se ha detectado que XPDF versión v4.04, contiene una vulnerabilidad de desbordamiento de pila por medio de la clase Object::Copy de los archivos object.cc • https://forum.xpdfreader.com/viewtopic.php?f=3&t=42284 https://forum.xpdfreader.com/viewtopic.php?f=3&t=42286 https://forum.xpdfreader.com/viewtopic.php?f=3&t=42287 • CWE-787: Out-of-bounds Write •
CVE-2022-30775
https://notcve.org/view.php?id=CVE-2022-30775
xpdf 4.04 allocates excessive memory when presented with crafted input. This can be triggered by (for example) sending a crafted PDF document to the pdftoppm binary. It is most easily reproduced with the DCMAKE_CXX_COMPILER=afl-clang-fast++ option. xpdf versión 4.04, asigna un exceso de memoria cuando le es presentada una entrada diseñada. Esto puede ser desencadenado (por ejemplo) mediante el envío de un documento PDF diseñado al binario pdftoppm. Es más fácil de reproducir con la opción DCMAKE_CXX_COMPILER=afl-clang-fast++ • https://forum.xpdfreader.com/viewtopic.php?f=3&t=42264 • CWE-770: Allocation of Resources Without Limits or Throttling •