PT-2020-5580 · Foxit · Foxit Reader+1
Mat Powell
·
Publicado
2020-04-16
·
Atualizado
2020-07-07
·
CVE-2020-10913
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Foxit PhantomPDF versão 9.7.0.29478
Foxit Reader (versões afetadas não especificadas)
Descrição
O problema está relacionado a erros na conversão de tipos de dados na implementação do comando OCRAndExportToExcel no Foxit Reader e no Foxit PhantomPDF. Isso pode ser explorado por um invasor remoto para executar código arbitrário. A exploração requer interação do usuário, como visitar uma página maliciosa ou abrir um arquivo malicioso. A falha existe no tratamento do comando OCRAndExportToExcel devido à falta de validação adequada dos dados fornecidos pelo usuário, resultando em uma condição de confusão de tipos. Isso permite que um invasor execute código no contexto do processo atual.
Recomendações
Para o Foxit PhantomPDF versão 9.7.0.29478, atualize para uma versão que corrija o problema de confusão de tipos no tratamento do comando OCRAndExportToExcel.
Para o Foxit Reader, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
RCE
Type Confusion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Foxit Phantompdf
Foxit Reader