Ghostscript 任意文件读写漏洞(CVE-2024-29511)
CVE编号
CVE-2024-29511利用情况
暂无补丁情况
N/A披露时间
2024-07-04漏洞描述
Artifex Software Ghostscript 是美国 Artifex Software 公司的一款开源的 PostScript 解析器,支持 Tesseract OCR 引擎。 受影响版本中,如果启用了Tesseract支持,当使用Tesseract加载特定语言的数据文件时,会根据OCRLanguage参数从相应路径加载 .traineddata 文件,攻击者可通过构造恶意 OCRLanguage 参数进行任意文件读写。 修复版本中,通过禁止在SAFER模式下修改OCRLanguage参数以修复漏洞。解决建议
"将组件 ghostscript 升级至 10.03.1 及以上版本"
参考链接 |
|
|---|---|
| https://bugs.ghostscript.com/show_bug.cgi?id=707510 | |
| https://git.ghostscript.com/?p=ghostpdl.git%3Ba=commitdiff%3Bh=3d4cfdc1a44 | |
| https://www.openwall.com/lists/oss-security/2024/07/03/7 |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论