起因
前段时间在项目中遇到了PDF.js,但是没有比较好的利用方式。
最近在社交平台看到好多人在发这个漏洞,于是看了一下
参考文章:https://codeanlabs.com/blog/research/cve-2024-4367-arbitrary-js-execution-in-pdf-js/
中文:https://mp.weixin.qq.com/s/wI61BVkEBMRw6A1pNNmKFA
poc :https://github.com/s4vvysec/CVE-2024-4367-POC
poc可以进行修改 证明危害 直接文本编辑 把弹框的内容改掉
需要把pdf上传到平台 通过pdfjs进行加载浏览能弹cookie。危害有限
比pdf xss强点 但不多
原文始发于微信公众号(None安全团队):PDF.js JavaScript 代码执行
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论