0x01 前言
最近有点火的CVE-2024-4367 再配合RCE 好多人拿出来刷洞 其实很简单
0x02 XSS演示
0x03 RCE演示
0x04 POC下载
关注微信公众号'安全社' 回复 PDF
0x05 结束语
SRC都被刷的差不多了 很多厂商修了RCE 但是XSS没修 可以通过思路多挖一挖一些客户端 有可能有漏网之鱼
影响范围
Mozilla PDF.js < 4.2.67
pdfjs-dist (npm) < 4.2.67
react-pdf (npm) < 7.7.3
8.0.0<= react-pdf (npm) < 8.0.2
注:pdfjs-dist是Mozilla PDF.js 库的通用构建;React-PDF是一个React组件,它封装了PDF.js库。
POC不是原创 GitHub下载的 想RCE自己改一下代码 不同的库RCE方式好像也不一样
原文始发于微信公众号(安全社):CVE-2024-4367 PDF.js + RCE
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论