Уязвимость удаленного выполнения кода из-за раскрытия опасного метода exportXFAData в Foxit PDF Reader. Эта уязвимость позволяет удаленным …
Уязвимость удаленного выполнения кода из-за раскрытия опасного метода exportXFAData в Foxit PDF Reader. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на затронутых установках Foxit PDF Reader. Для эксплуатации этой уязвимости требуется взаимодействие с пользователем, заключающееся в том, что цель должна посетить вредоносную страницу или открыть вредоносный файл. Конкретный недостаток существует в методе exportXFAData. Приложение предоставляет интерфейс JavaScript, который позволяет записывать произвольные файлы. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте текущего пользователя. Идентифицирована как ZDI-CAN-19697.
Программный продукт предоставляет API или аналогичный интерфейс для взаимодействия с внешними субъектами, однако интерфейс включает опасный метод или функцию, которые не имеют надлежащих ограничений.
https://cwe.mitre.org/data/definitions/749.html →Открыть в коллекции CWE →Злоумышленник через ранее установленное вредоносное приложение внедряет код в контекст веб-страницы, отображаемой компонентом WebView. С помощью внедрённого кода злоумышленник способен манипулировать DOM-деревом и cookie-файлами страницы, раскрывать конфиденциальную информацию и запускать атаки на веб-приложение изнутри веб-страницы.
https://capec.mitre.org/data/definitions/500.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| pdf_editor | * | Отслеживается |
| pdf_reader | * | Отслеживается |