PDF.js JavaScript 代码执行

2024年5月25日00:01:02评论8 views字数 366阅读1分13秒阅读模式

起因

前段时间在项目中遇到了PDF.js，但是没有比较好的利用方式。

最近在社交平台看到好多人在发这个漏洞，于是看了一下

参考文章：https://codeanlabs.com/blog/research/cve-2024-4367-arbitrary-js-execution-in-pdf-js/

中文：https://mp.weixin.qq.com/s/wI61BVkEBMRw6A1pNNmKFA

poc ：https://github.com/s4vvysec/CVE-2024-4367-POC

poc可以进行修改证明危害直接文本编辑把弹框的内容改掉

需要把pdf上传到平台通过pdfjs进行加载浏览能弹cookie。危害有限

比pdf xss强点但不多

PDF.js JavaScript 代码执行

原文始发于微信公众号（None安全团队）：PDF.js JavaScript 代码执行

本文由 admin 发表于 2024年5月25日00:01:02
转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
PDF.js JavaScript 代码执行http://cn-sec.com/archives/2770518.html

实战:略微扎手的渗透测试