关键信息 漏洞标识 GHSL编号: GHSL-2025-042 CVE编号: CVE-2025-52885 漏洞类型 CWE: CWE-416 "Use After Free" 影响的项目和版本 项目: Poppler 测试版本: 25.02.0 漏洞描述 问题: 在Poppler的StructTreeRoot类中存在Use-After-Free(写)漏洞。 原因: 使用原始指针引用 元素,当向量重新调整大小时,这些指针可能变为悬挂指针。 漏洞细节 受影响的方法: 文件: 代码片段: 问题: 在后续迭代中,向量可能被重新调整大小,导致旧指针成为悬挂指针。 影响 潜在风险: 可能被利用以在Poppler中执行代码。 披露时间线 报告日期: 2025-04-03 创建合并请求: 2025-09-03 修复合并: 2025-09-05 发现者 发现者: Antonio Morales (@antonio-morales) 联系方式 联系邮箱: securitylab@github.com 参考编号: GHSL-2025-042