Nitro Pdf Pro
Уязвимости
8
Эксплуатируемые
0
Макс. CVSS
8.4
Макс. EPSS
0.01958
Распределение по критичности
Критический
0
Высокий
7
Средний
1
Низкий
0
Затронутые диапазоны версий
< 13.70.8.82< 14.42.0.34≤ 10.5.9.9
Также сопоставлено как (исходные строки): nitro_pdf_pro
Топ уязвимостей
CVE-2025-69627Nitro PDF Pro для Windows 14.41.1.4 содержит кучу уязвимости без использования в реализации метода JavaScript this.mailDoc(). Во время выполнения внутренний объект XID выделяется, а затем преждевременно освобождается, после чего освобожденный указатель все еще передается в функции UI и регистрации помощников. Поскольку освобожденная область памяти может содержать непредсказуемые кучи или остатки контролируемых злоумышленником строк JavaScript, последующие процедуры, такие как wcscmp(), могут обрабатывать недействительные или устаревшие указатели. Это может привести к нарушениям доступа и недетерминальным сбоам.
CVE-2024-35288Nitro PDF Pro версий до 13.70.8.82 и 14.x версий до 14.26.1.0 допускает локальное повышение привилегий в установщике MSI, поскольку пользовательские действия небезопасно выполняются в режиме восстановления. CertUtil запускается в окне conhost.exe, и существует механизм, позволяющий CTRL+o запускать cmd.exe как NT AUTHORITY\SYSTEM.
CVE-2016-8713Существует уязвимость удаленной записи за пределы границ/повреждения памяти в функциональности анализа PDF в Nitro Pro 10.5.9.9. Специально созданный PDF-файл может вызвать уязвимость, приводящую к потенциальному повреждению памяти. Злоумышленник может отправить жертве определенный PDF-файл, чтобы вызвать эту уязвимость.
CVE-2016-8711Существует потенциальная уязвимость удаленного выполнения кода в функциональности анализа PDF в Nitro Pro 10. Специально созданный PDF-файл может вызвать уязвимость, приводящую к потенциальному выполнению кода. Злоумышленник может отправить жертве определенный PDF-файл, чтобы вызвать эту уязвимость.
CVE-2016-8709Существует уязвимость удаленной записи за пределы границ/повреждения памяти в функциональности анализа PDF в Nitro Pro 10. Специально созданный PDF-файл может вызвать уязвимость, приводящую к потенциальному повреждению памяти. Злоумышленник может отправить жертве определенный PDF-файл, чтобы вызвать эту уязвимость.
CVE-2025-69624Nitro PDF Pro для Windows 14.41.1.4 содержит уязвимость указатель NULL в реализации JavaScript applicationap.alert(). Когда app.alert() вызывается более чем одним аргументом, и первый аргумент оценивается до нуля (например, app.alert(app.activeDocs, true) когда app.activeDocs является нулевым), двигатель маршрутизирует вызов через запасной путь, предназначенный для нестроечных аргументов. На этом пути js_ValueToString() вызывается на нулевом значении и возвращает недействительный струнный указатель, который затем передается JS_GetStringChars() без подтверждения. Уважение к этому указатель приводит к нарушению доступа и сбою приложения при открытии созданного PDF-файла.
CVE-2025-66769Отзыв указатель NULL в Nitro PDF Pro для Windows v14.41.1.4 позволяет злоумышленникам вызвать отказ в обслуживании (DoS) через созданный пакет XFA.
CVE-2025-67825Проблема была обнаружена в Nitro PDF Pro для Windows до 14.42.0.34. В некоторых случаях он отображает информацию о подписанте из непроверенного поля PDF, а не из проверенного предмета сертификата. Это может позволить документу представить несовместимые детали подписавшего. Логика отображения была обновлена, чтобы гарантировать, что информация о подписанте постоянно отражает личность проверенного сертификата.