漏洞背景
近日,嘉诚安全监测到Mozilla PDF.js代码执行漏洞(CVE-2024-4367)和React-PDF代码执行漏洞(CVE-2024-34342)。
PDF.js是一个由Mozilla开发的、广泛使用的开源便携式文档格式 (PDF) 查看器,可以在Web浏览器中显示PDF文档,而无需依赖任何本地插件,PDF.js被内置于Mozilla Firefox中,也可被其他Web浏览器使用。pdfjs-dist是Mozilla PDF.js库的通用构建;React-PDF是一个React组件,封装了PDF.js库。
鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。
漏洞详情
1.CVE-2024-4367
Mozilla PDF.js代码执行漏洞,经研判,该漏洞为高危漏洞。在受影响版本的font_loader.js中,当PDF.js配置isEvalSupported选项设置为true(默认值)时,会将输入传递到eval()函数,攻击者可通过诱导用户打开恶意PDF文件来利用该漏洞,成功利用可能导致在登录用户或托管域的上下文中执行任意JavaScript。
2.CVE-2024-34342
React-PDF代码执行漏洞,经研判,该漏洞为高危漏洞。如果PDF.јѕ用于加载恶意PDF,并且PDF.Jѕ配置为'iѕEvаlSuрроrtеd'设置为'truе'(这是默认值),则不受限制的攻击者控制的JаvаSсriрt将在托管域的上下文中执行。
危害影响
影响版本
Mozilla PDF.js < 4.2.67
pdfjs-dist (npm) < 4.2.67
react-pdf (npm) < 7.7.3
8.0.0<= react-pdf (npm) < 8.0.2
修复建议
目前这些漏洞已经修复,受影响用户可更新到PDF.js/pdfjs-dist版本4.2.67、react-pdf 7.7.3或8.0.2。
下载链接:
https://github.com/mozilla/pdf.js/tags
https://github.com/wojtekmaj/react-pdf/tags
参考链接:
https://github.com/mozilla/pdf.js/security/advisories/GHSA-wgrm-67xf-hhpq
https://github.com/wojtekmaj/react-pdf/security/advisories/GHSA-87hq-q4gp-9wr4
https://github.com/mozilla/pdf.js/pull/18015
https://security.snyk.io/vuln/SNYK-JS-PDFJSDIST-6810403
原文始发于微信公众号(嘉诚安全):【漏洞通告】Mozilla PDF.js代码执行漏洞和React-PDF代码执行漏洞安全风险通告
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论