CVE-2020-10889

**Nome do software vulnerável e versões afetadas:

Foxit PhantomPDF versão 9.7.0.29478

Descrição:

Esta vulnerabilidade permite que invasores remotos executem código arbitrário em instalações afetadas. É necessária a interação do usuário, na qual o alvo deve visitar uma página maliciosa ou abrir um arquivo malicioso. A falha existe no tratamento do comando DuplicatePages da API de comunicação, resultante da falta de validação adequada dos dados fornecidos pelo usuário, o que pode levar a uma condição de confusão de tipos. Um invasor pode aproveitar isso para executar código no contexto do processo atual.

Recomendações:

Para o Foxit PhantomPDF versão 9.7.0.29478, como solução temporária, considere desativar o comando DuplicatePages até que um patch esteja disponível. Restrinja o acesso à API de comunicação para minimizar o risco de exploração. Evite usar o comando DuplicatePages no endpoint da API afetado até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.