Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-07681

Опубликовано: 29 сент. 2024
Источник: fstec
CVSS3: 8.6
CVSS2: 7.2
EPSS Низкий

Описание

Уязвимость программы для просмотра электронных документов в стандарте PDF Foxit PDF Reader (ранее Foxit Reader) и программы редактирования PDF-файлов Foxit PDF Editor (ранее Foxit PhantomPDF) связана с ошибками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код путём подмены файла обновления

Вендор

Foxit Software Inc.

Наименование ПО

PDF Reader
PDF Editor

Версия ПО

до 2024.3 (PDF Reader)
до 2024.3 (PDF Editor)
до 13.1.4 (PDF Editor)
до 12.1.8 (PDF Editor)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Microsoft Corp Windows -

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,6)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- установка обновление программы из доверенных источников;
- использование антивирусного программного обеспечения для проверки файлов обновлений;
- использование замкнутой программной среды для предотвращения установки скомпрометированных обновлений.
Использование рекомендаций:
https://www.foxit.com/support/security-bulletins.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 10%
0.00036
Низкий

8.6 High

CVSS3

7.2 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-41605

CVSS3: 8.4
nvd
больше 1 года назад

In Foxit PDF Reader before 2024.3, and PDF Editor before 2024.3 and 13.x before 13.1.4, an attacker can replace an update file with a Trojan horse via side loading, because the update service lacks integrity validation for the updater. Attacker-controlled code may thus be executed.

github логотип

GHSA-mrhc-m9q7-2fvp

CVSS3: 8.4
github
больше 1 года назад

An issue in Foxit Software Foxit PDF Reader v.2024.2.2.25170 allows a local attacker to execute arbitrary code via the FoxitPDFReaderUpdater.exe component

EPSS

Процентиль: 10%
0.00036
Низкий

8.6 High

CVSS3

7.2 High

CVSS2