PT-2020-5581 · Foxit · Foxit Phantompdf
Mat Powell
·
Publicado
2020-04-16
·
Atualizado
2020-04-30
·
CVE-2020-10912
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Foxit PhantomPDF versão 9.7.0.29478
Descrição
A vulnerabilidade está relacionada a uma condição de confusão de tipos devido à falta de validação adequada dos dados fornecidos pelo usuário no tratamento do comando
SetFieldValue da API de comunicação. Isso pode permitir que um invasor remoto execute código arbitrário nas instalações afetadas, mas é necessária a interação do usuário, como visitar uma página maliciosa ou abrir um arquivo malicioso. A exploração dessa vulnerabilidade pode resultar na execução de código no contexto do processo atual.Recomendações
Para o Foxit PhantomPDF versão 9.7.0.29478, considere restringir o acesso ao comando
SetFieldValue até que uma correção esteja disponível. Como solução alternativa temporária, evite usar o comando SetFieldValue na API de comunicação para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.RCE
Type Confusion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Foxit Phantompdf