CVE-2025-64486

CRÍTIC (9,3)

CVSS3: 0,0

Calibre és un gestor de llibres electrònics. A les versions 8.13.0 i anteriors, Calibre no valida els noms de fitxer quan gestiona recursos binaris en fitxers FB2, cosa que permet que un atacant escrigui fitxers arbitraris al sistema de fitxers quan visualitza o converteix un fitxer FictionBook maliciós. Això es pot aprofitar per aconseguir l’execució de codi arbitrari. Aquest problema s’ha corregit a la versió 8.14.0.

Sistemes Afectats

• kovidgoyal calibre < 8.14.0

Remediació
Actualitza a la versió 8.14.0 o posterior. Vegeu-ne les Referències.

Referències

• https://github.com/kovidgoyal/calibre/security/advisories/GHSA-hpwq-c98h-xp8g
• https://github.com/kovidgoyal/calibre/commit/6f94bce214bf7d43c829804db3741afa5e83c0c5
• https://raw.githubusercontent.com/CVEProject/cvelistV5/main/cves/2025/64xxx/CVE-2025-64486.json