CVE-2020-26535

Опубликовано: 02 окт. 2020

Источник: nvd

CVSS3: 9.8

CVSS2: 7.5

EPSS Низкий

Уязвимость нарушения записи и чтения в Foxit Reader и PhantomPDF из-за ошибки выделения памяти в "TslAlloc"

Описание

В Foxit Reader и PhantomPDF выявлена уязвимость, связанная с нарушением прав доступа на запись и чтение. Уязвимость возникает, когда функция TslAlloc пытается выделить память для локального хранилища потока, но получает неприемлемое значение индекса. В результате система V8 вызывает исключение, которое приводит к нарушению прав доступа.

Затронутые версии ПО

Foxit Reader до версии 10.1
PhantomPDF до версии 10.1

Тип уязвимости

Нарушение прав доступа

Ссылки

https://www.foxitsoftware.com/support/security-bulletins.html
Patch
Vendor Advisory
https://www.foxitsoftware.com/support/security-bulletins.html
Patch
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:foxitsoftware:foxit_reader:*:*:*:*:*:*:*:*

Версия до 10.1 (исключая)

cpe:2.3:a:foxitsoftware:phantompdf:*:*:*:*:*:*:*:*

Версия до 10.1 (исключая)

EPSS

Процентиль: 6%

0.00023

Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-787

Связанные уязвимости

GHSA-j4q4-v7ww-5hxm

github

больше 3 лет назад

An issue was discovered in Foxit Reader and PhantomPDF before 10.1. If TslAlloc attempts to allocate thread local storage but obtains an unacceptable index value, V8 throws an exception that leads to a write access violation (and read access violation).