Dev & Open Source||4 sources
Les mainteneurs de pypdf corrigent une faille causant l'épuisement de la RAM par des PDF malveillants
pypdf a publié la version 6.7.4 pour corriger CVE-2026-28351, une faille dans RunLengthDecode permettant l'épuisement de RAM via PDF malveillants. Les développeurs doivent mettre à jour immédiatement.
Le 28 février 2026, les mainteneurs du projet open source pypdf sur GitHub ont publié la version 6.7.4, corrigeant une vulnérabilité critique identifiée sous CVE-2026-28351. Cette faille, située dans le filtre RunLengthDecode, permet à des flux PDF manipulés d'entraîner une consommation excessive de mémoire, provoquant un déni de service par condition d'absence de mémoire (out-of-memory). Classée CWE-400 pour consommation incontrôlée de ressources, cette vulnérabilité affecte toutes les versions antérieures à 6.7.4. Elle expose particulièrement les pipelines automatisés de traitement de PDF qui analysent des documents provenant de sources non fiables, comme des pièces jointes ou des téléchargements utilisateurs. Les applications Python intégrant pypdf pour extraire ou manipuler des PDF risquent des plantages soudains. Cette bibliothèque, très populaire dans l'écosystème Python pour sa simplicité et son approche pure Python, est utilisée dans de nombreux outils de développement, rendant cette correction particulièrement urgente pour les développeurs et les déploiements en production. La version 6.7.4 introduit une vérification stricte de la longueur maximale de sortie dans le filtre RunLengthDecode, limitée à 75 000 000 octets. Au-delà de cette limite, une erreur LimitReachedError est levée, empêchant toute expansion illimitée de la mémoire. Ce correctif provient de la pull request n°3664 du dépôt GitHub py-pdf/pypdf, accompagnée d'un proof-of-concept démontrant l'attaque. Les vulnérabilités liées aux PDF sont courantes en développement en raison de la complexité du format, qui favorise les parsers vulnérables à des attaques par déni de service. Les utilisateurs doivent immédiatement exécuter la commande pip install pypdf>=6.7.4 et redémarrer leurs services pour appliquer la mise à jour. En attendant, imposer des limites de mémoire aux processus ou valider rigoureusement la structure des PDF entrants permet de réduire les risques. Cette protection s'applique contre des attaques à distance sans authentification, renforçant la sécurité des environnements automatisés dans un paysage où les manipulations de PDF malveillants prolifèrent.
4 sources
Article enrichi par l'IA
Cet article a été enrichi avec du contexte additionnel provenant des connaissances de l'IA (historique, comparaisons, données techniques). Les sources éditoriales restent la base factuelle.
CVE-2026-28351: Uncontrolled Resource Consumption in pypdf RunLengthDecode
Source éditoriale·Dev.to·28 févr. 2026
CVE-2026-28351: CWE-400: Uncontrolled Resource Consumption in py-pdf pypdf
Source éditoriale·OffSeq
Manipulated RunLengthDecode streams can exhaust RAM · Advisory · py-pdf/pypdf
Source éditoriale·GitHub
Contexte ajouté : popularité de pypdf en Python, risques courants des vulnérabilités PDF en développement
Contexte IA