CVE-2025-6660

PDF-XChange Editor GIF File Parsing Heap-based Buffer Overflow Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of PDF-XChange Editor. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file. The specific flaw exists within the parsing of GIF files. The issue results from the lack of proper validation of the length of user-supplied data prior to copying it to a fixed-length heap-based buffer. An attacker can leverage this vulnerability to execute code in the context of the current process. Was ZDI-CAN-26763.
Configurations

Configuration 1 (hide)

OR cpe:2.3:a:pdf-xchange:pdf-tools:10.5.2.395:*:*:*:*:*:*:*
cpe:2.3:a:pdf-xchange:pdf-xchange_editor:10.5.2.395:*:*:*:*:*:*:*
cpe:2.3:a:pdf-xchange:pdf-xchange_pro:10.5.2.395:*:*:*:*:*:*:*

History

07 Jul 2025, 17:37

Type Values Removed Values Added
References () https://www.pdf-xchange.com/support/security-bulletins.html - () https://www.pdf-xchange.com/support/security-bulletins.html - Vendor Advisory
References () https://www.zerodayinitiative.com/advisories/ZDI-25-443/ - () https://www.zerodayinitiative.com/advisories/ZDI-25-443/ - Third Party Advisory
First Time Pdf-xchange pdf-tools
Pdf-xchange pdf-xchange Editor
Pdf-xchange pdf-xchange Pro
Pdf-xchange
CPE cpe:2.3:a:pdf-xchange:pdf-xchange_pro:10.5.2.395:*:*:*:*:*:*:*
cpe:2.3:a:pdf-xchange:pdf-xchange_editor:10.5.2.395:*:*:*:*:*:*:*
cpe:2.3:a:pdf-xchange:pdf-tools:10.5.2.395:*:*:*:*:*:*:*

26 Jun 2025, 18:57

Type Values Removed Values Added
Summary
  • (es) Vulnerabilidad de ejecución remota de código por desbordamiento de búfer basado en montón en el análisis de archivos GIF del editor PDF-XChange. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas del editor PDF-XChange. Para explotar esta vulnerabilidad, se requiere la interacción del usuario, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica se encuentra en el análisis de archivos GIF. El problema se debe a la falta de una validación adecuada de la longitud de los datos proporcionados por el usuario antes de copiarlos a un búfer basado en montón de longitud fija. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto del proceso actual. Era ZDI-CAN-26763.

25 Jun 2025, 22:15

Type Values Removed Values Added
New CVE

Information

Published : 2025-06-25 22:15

Updated : 2025-07-07 17:37


NVD link : CVE-2025-6660

Mitre link : CVE-2025-6660

CVE.ORG link : CVE-2025-6660


JSON object : View

Products Affected

pdf-xchange

  • pdf-xchange_editor
  • pdf-xchange_pro
  • pdf-tools
CWE
CWE-122

Heap-based Buffer Overflow