Ghostscript 漏洞导致加密 PDF 文件泄露明文密码
💡
原文中文,约1000字,阅读约需3分钟。
📝
内容提要
广泛使用的 PDF 处理器 Ghostscript 存在 CVE-2025-48708 漏洞,可能将明文密码嵌入加密 PDF 文件中,影响用户数据安全。该漏洞源于参数清理失败,Ghostscript 已在 10.05.1 版本中发布补丁修复此问题。
🎯
关键要点
- Ghostscript 存在 CVE-2025-48708 漏洞,可能将明文密码嵌入加密 PDF 文件中。
- 该漏洞影响 10.05.1 之前的所有版本,违背了 PDF 加密的核心目的。
- 漏洞源于参数清理失败,导致敏感值未被清除。
- 安全研究员发现完整命令行输入,包括明文密码,被嵌入到生成的 PDF 文件开头。
- 重现漏洞的步骤非常简单,用户只需运行特定命令即可。
- Ghostscript 已在 10.05.1 版本中发布补丁,修复了该问题。
❓
延伸问答
Ghostscript 漏洞的编号是什么?
漏洞编号为 CVE-2025-48708。
Ghostscript 漏洞是如何影响 PDF 文件安全的?
该漏洞可能将明文密码嵌入加密的 PDF 文件中,违背了 PDF 加密的核心目的。
Ghostscript 漏洞的根本原因是什么?
漏洞源于参数清理失败,导致敏感值未被清除。
如何重现 Ghostscript 漏洞?
用户需安装 Ghostscript 并运行特定命令,生成的 PDF 文件将包含明文密码。
Ghostscript 已发布的补丁版本是什么?
Ghostscript 已在 10.05.1 版本中发布补丁修复此问题。
该漏洞影响了哪些版本的 Ghostscript?
该漏洞影响 10.05.1 之前的所有版本。
🏷️
标签
➡️
