| タイトル | Artifex SoftwareのMuPDFにおけるエスケープ、メタ、またはコントロールシーケンスの不適切な無効化に関する脆弱性 |
|---|---|
| 概要 | MuPDF 1.27以前のバージョンには、mutoolにANSIインジェクションの脆弱性が存在します。この脆弱性により、攻撃者は細工されたPDFメタデータフィールドを通じて任意のANSIエスケープシーケンスを注入することが可能です。攻撃者はmutool info実行時にターミナル出力に無検証で渡されるPDFメタデータに悪意のあるANSIエスケープコードを埋め込み、偽のプロンプトやなりすましコマンドを提示するなどのソーシャルエンジニアリング攻撃によりターミナル表示を操作できます。 |
| 想定される影響 | 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年4月16日0:00 |
| 登録日 | 2026年5月28日14:42 |
| 最終更新日 | 2026年5月28日14:42 |
| CVSS3.0 : 低 | |
| スコア | 3.3 |
|---|---|
| ベクター | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
| Artifex Software |
| MuPDF 1.27.0 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年05月28日] 掲載 |
2026年5月28日14:42 |
| 概要 | MuPDF before 1.27 contains an ANSI injection vulnerability in mutool that allows attackers to inject arbitrary ANSI escape sequences through crafted PDF metadata fields. Attackers can embed malicious ANSI escape codes in PDF metadata that are passed unsanitized to terminal output when running mutool info, enabling them to manipulate terminal display for social engineering attacks such as presenting fake prompts or spoofed commands. |
|---|---|
| 公表日 | 2026年4月16日11:16 |
| 登録日 | 2026年4月17日4:12 |
| 最終更新日 | 2026年4月18日2:17 |