Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-06292

Опубликовано: 11 авг. 2021
Источник: fstec
CVSS3: 8.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость программы редактирования PDF-файлов Foxit PhantomPDF и программы для просмотра текста Foxit Reader операционных систем Windows связана с выходом операции за границы буфера в памяти при обработке объектов аннотации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью специально сформированного вредоносного PDF-файла

Вендор

Foxit Software Inc.

Наименование ПО

Foxit Reader
Foxit PhantomPDF

Версия ПО

до 11.0.1.49938 включительно (Foxit Reader)
до 11.0.1.49938 включительно (Foxit PhantomPDF)
до 11.0.0.49893 включительно (Foxit PhantomPDF)
до 10.1.5.37672 включительно (Foxit PhantomPDF)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Microsoft Corp. Windows -

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://www.foxit.com/support/security-bulletins.html?Security+updates+available+in+Foxit+PhantomPDF+10.1.62021-11-29+00%3A00%3A00

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

EPSS

Процентиль: 78%
0.01138
Низкий

8.8 High

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVSS3: 7.8
nvd
около 1 года назад

Foxit PDF Editor Polygon Annotation Use-After-Free Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Foxit PDF Editor. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file. The specific flaw exists within the handling of Annotation objects. The issue results from the lack of validating the existence of an object prior to performing operations on the object. An attacker can leverage this vulnerability to execute code in the context of the current process. Was ZDI-CAN-14366.

CVSS3: 7.8
github
около 1 года назад

Foxit PDF Editor Polygon Annotation Use-After-Free Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of Foxit PDF Editor. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file. The specific flaw exists within the handling of Annotation objects. The issue results from the lack of validating the existence of an object prior to performing operations on the object. An attacker can leverage this vulnerability to execute code in the context of the current process. Was ZDI-CAN-14366.

EPSS

Процентиль: 78%
0.01138
Низкий

8.8 High

CVSS3

10 Critical

CVSS2