Artifex SoftwareのMuPDFにおけるエスケープ、メタ、またはコントロールシーケンスの不適切な無効化に関する脆弱性
| Title |
Artifex SoftwareのMuPDFにおけるエスケープ、メタ、またはコントロールシーケンスの不適切な無効化に関する脆弱性
|
| Summary |
MuPDF 1.27以前のバージョンには、mutoolにANSIインジェクションの脆弱性が存在します。この脆弱性により、攻撃者は細工されたPDFメタデータフィールドを通じて任意のANSIエスケープシーケンスを注入することが可能です。攻撃者はmutool info実行時にターミナル出力に無検証で渡されるPDFメタデータに悪意のあるANSIエスケープコードを埋め込み、偽のプロンプトやなりすましコマンドを提示するなどのソーシャルエンジニアリング攻撃によりターミナル表示を操作できます。
|
| Possible impacts |
当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
April 16, 2026, midnight |
| Registration Date |
May 28, 2026, 2:42 p.m. |
| Last Update |
May 28, 2026, 2:42 p.m. |
|
CVSS3.0 : 低
|
| Score |
3.3
|
| Vector |
CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N |
Affected System
| Artifex Software |
|
MuPDF 1.27.0 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年05月28日]
掲載 |
May 28, 2026, 2:42 p.m. |
NVD Vulnerability Information
CVE-2026-40505
| Summary |
MuPDF before 1.27 contains an ANSI injection vulnerability in mutool that allows attackers to inject arbitrary ANSI escape sequences through crafted PDF metadata fields. Attackers can embed malicious ANSI escape codes in PDF metadata that are passed unsanitized to terminal output when running mutool info, enabling them to manipulate terminal display for social engineering attacks such as presenting fake prompts or spoofed commands.
|
| Publication Date |
April 16, 2026, 11:16 a.m. |
| Registration Date |
April 17, 2026, 4:12 a.m. |
| Last Update |
April 18, 2026, 2:17 a.m. |
Related information, measures and tools
Common Vulnerabilities List