CRITICAL✓ PATCH🇬🇧 English

CVE-2025-20260

ClamAV: buffer overflow w skanowaniu PDF umożliwia DoS lub RCE

CVSS 9.8v3.1pub. 2025-06-18upd. 2025-11-03

Podatność w module skanowania plików PDF w ClamAV pozwala nieuwierzytelnionemu zdalnemu atakującemu wywołać przepełnienie bufora (buffer overflow), co może prowadzić do przerwania działania skanera (DoS) lub wykonania dowolnego kodu (RCE). Ocena CVSS wynosi 9.8, co klasyfikuje ją jako podatność krytyczną.

Pokaż oryginał (EN)

A vulnerability in the PDF scanning processes of ClamAV could allow an unauthenticated, remote attacker to cause a buffer overflow condition, cause a denial of service (DoS) condition, or execute arbitrary code on an affected device. This vulnerability exists because memory buffers are allocated incorrectly when PDF files are processed. An attacker could exploit this vulnerability by submitting a crafted PDF file to be scanned by ClamAV on an affected device. A successful exploit could allow the attacker to trigger a buffer overflow, likely resulting in the termination of the ClamAV scanning process and a DoS condition on the affected software. Although unproven, there is also a possibility that an attacker could leverage the buffer overflow to execute arbitrary code with the privileges of the ClamAV process.

🤖 Analiza AI
Jak działa

Błąd wynika z nieprawidłowej alokacji buforów pamięci podczas przetwarzania plików PDF przez ClamAV (CWE-122 — heap-based buffer overflow). Atakujący może dostarczyć specjalnie spreparowany plik PDF do systemu, w którym działa ClamAV, na przykład przez e-mail lub przesyłanie plików poddawanych skanowaniu. Przetworzenie takiego pliku powoduje przepełnienie bufora, co najprawdopodobniej skutkuje awaryjnym zakończeniem procesu skanera. Chociaż nie zostało to potwierdzone, istnieje możliwość wykorzystania tego przepełnienia do wykonania dowolnego kodu z uprawnieniami procesu ClamAV.

Skutki

Atakujący może doprowadzić do trwałego przerwania działania usługi skanowania antywirusowego (DoS), a w potencjalnym scenariuszu — do wykonania dowolnego kodu z uprawnieniami procesu ClamAV na atakowanym urządzeniu.

Mitygacja

Należy zaktualizować ClamAV do wersji 1.4.3 lub 1.0.9 zgodnie z informacjami opublikowanymi na oficjalnym blogu ClamAV (https://blog.clamav.net/2025/06/clamav-143-and-109-security-patch.html). Użytkownicy dystrybucji Debian powinni zastosować patche dostępne za pośrednictwem kanału debian-lts-announce.

Kogo dotyczy

ClamAV — wersje wskazane w referencjach producenta; patche zostały udostępnione w wersjach ClamAV 1.4.3 oraz 1.0.9 zgodnie z oficjalnym blogiem projektu

Uwagi

Producent w opisie podatności wprost zaznacza, że wykonanie kodu (RCE) jest możliwością nieudowodnioną ("unproven"), natomiast skutek w postaci DoS jest oceniany jako wysoce prawdopodobny. Patche dostępne w wersjach ClamAV 1.4.3 i 1.0.9 opublikowanych 2025-06-18.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Clamav

    APP
    Clamav
    < 1.0.91.2.0 – 1.4.3 (bez)
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCEDoSMemory
CWE
Referencje

Powiązane podatności

CVE-2023-20032CRITICAL9.8ten sam produkt

On Feb 15, 2023, the following vulnerability in the ClamAV scanning library was disclosed: A vulnerabilit...

CVE-2013-7088CRITICAL9.8ten sam produkt

ClamAV before 0.97.7 has buffer overflow in the libclamav component

CVE-2013-7087CRITICAL9.8ten sam produkt

ClamAV before 0.97.7 has WWPack corrupt heap memory

CVE-2007-6745CRITICAL9.8ten sam produkt

clamav 0.91.2 suffers from a floating point exception when using ScanOLE2.

CVE-2007-0899CRITICAL9.8ten sam produkt

There is a possible heap overflow in libclamav/fsg.c before 0.100.0.