【高危】Foxit 福昕PDF阅读器 Field Calculate 释放后使用漏洞(PoC)

news2024/12/23 22:49:37

 漏洞描述

Foxit PDF阅读器是福昕软件公司推出的一款广泛使用的PDF文档阅读器。

在受影响版本中,由于其javascript引擎存在use-after-free漏洞,攻击者可以构造恶意的PDF文件,通过文件中包含的deletePages()等操作使福昕PDF阅读器过早删除与页面关联的对象,并触发重用逻辑,可能导致任意代码执行漏洞。

漏洞名称Foxit 福昕PDF阅读器 Field Calculate 释放后使用漏洞
漏洞类型UAF
发现时间2023/7/20
漏洞影响广度广
MPS编号MPS-z718-rwub
CVE编号 CVE-2023-27379
CNVD编号-


影响范围

Foxit PDF Reader@[12.1.2.15332, 12.1.3)

修复方案

将组件 Foxit PDF Reader 升级到 12.1.3 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-z718-rwub

https://nvd.nist.gov/vuln/detail/CVE-2023-27379

https://talosintelligence.com/vulnerability_reports/TALOS-2023-1756

关于墨菲安全 

墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。为客户提供从供应链资产识别管理、风险检测、安全控制、一键修复的完整控制能力。

开源项目:https://github.com/murphysecurity/murphysec/?sf=qbyj

产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。

免费代码安全检测工具: https://www.murphysec.com/?sf=qbyj
免费情报订阅:https://www.oscs1024.com/cm/?sf=qbyj


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/786923.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

2022 年云南省职业院校技能大赛(高职组) “软件测试”赛项竞赛规程

2022 年云南省职业院校技能大赛(高职组) “软件测试”赛项竞赛规程 一、赛项名称 赛项名称:软件测试 赛项组别:高职组 赛项归属产业: 电子信息大类 二、竞赛目的 (一)检验教学成效 本赛项竞赛内容以《国家职业教育改革实施方案》为设计方针…

一百三十三、Hive——Hive外部表加载含有JSON格式字段的CSV文件数据

一、目标 在Hive的ODS层建外部表,然后加载HDFS中的CSV文件数据 注意:CSV文件中含有未解析的JSON格式的字段数据,并且JSON字段中还有逗号 二、第一次建外部表,直接以,分隔行字段,结果JSON数据只显示一部分…

真实和虚拟相撞,构造的VR展厅特点和优势有哪些?

随着科技的不断发展,VR展厅成为了现代展览的一种全新展现方式,三维立体展厅的设计,让企业、画展、纪念展等可以创造出令人惊叹的虚拟展览空间效果,为用户带来丰富的体验。观众身临其境地感受实体展厅和展品,这种超越了…

【Docker-compose】基于Docker-compose创建LNMP环境并运行Wordpress网站平台

基于Docker compose创建LNMP环境并运行Wordpress网站平台 1.Docker-Compose概述2. YAML文件格式及编写注意事项3. Docker-Compose配置常用字段4.Docker Compose常用命令5.使用Docker-compose创建LNMP环境,并运行Wordpress网站平台5.1 Docker Compose环境安装5.2 使用…

苍穹外卖项目解读(一) 完整代码本地部署运行

前言 HM新出springboot入门项目《苍穹外卖》,笔者打算写一个系列学习笔记,“苍穹外卖项目解读”,内容主要从HM课程,自己实践,以及踩坑填坑出发,以技术,经验为主,记录学习&#xff0…

Tensorflow报错protobuf requires Python ‘>=3.7‘ but the running Python is 3.6.8

报错信息 仔细观察下方命令后,可得运行:python -m pip install --upgrade pip即可 完成后再次执行性安装命令 成功!!!

Windows 10, version 22H2 (updated Jul 2023) 中文版、英文版下载

Windows 10, version 22H2 (updated Jul 2023) 中文版、英文版下载 Windows 10 22H2 企业版 arm64 x64 请访问原文链接:https://sysin.org/blog/windows-10/,查看最新版。原创作品,转载请保留出处。 作者主页:sysin.org Window…

【SAPABAP] ABAP Memory和 SAP Memory 区别

SAP系统中有两种内存: https://www.ngui.cc/el/2506560.html?actiononClick 1,ABAP Memory 简单说来一个session就是登录SAP系统开的窗口。 可以通过abap内存实现同一session中的数据交换。具体使用到 EXPORT 和IMPORT memory id 语句. 用户登陆后&…

SSRF总结

SSRF ​ SSRF全称:Server-Side Request Forgery,即服务器端请求伪造。 ​ 是一个由攻击者构造请求,在目标服务端执行的一个安全漏洞。攻击者可以利用该漏洞使服务器端向攻击者构造的任意域发出请求,目标通常是从外网无法访问的内…

企业软文怎么写:深度剖析写作技巧!

在当今信息爆炸的时代,企业软文已经成为了企业营销的重要手段之一。一篇高质量的企业软文不仅能够提升企业的品牌知名度,还能够为企业带来实际的经济效益。那么,如何才能写出一篇高质量的企业软文呢?本文伯乐网络传媒将从软文标题…

服务器负载均衡算法有哪些

算法举例 服务器负载均衡算法是用于分配网络流量到多个服务器的策略,以实现负载均衡和提高系统性能。以下是一些常见的服务器负载均衡算法的详细说明: 轮询(Round Robin)算法: 轮询算法是最简单且常见的负载均衡算法之…

ES6基础知识四:对象新增了哪些扩展?

一、参数 ES6允许为函数的参数设置默认值 function log(x, y World) {console.log(x, y); }console.log(Hello) // Hello World console.log(Hello, China) // Hello China console.log(Hello, ) // Hello函数的形参是默认声明的,不能使用let或const再次声明 fu…

minitab学习系列(3)--DOE结果分析

系列文章目录 文章目录 系列文章目录前言一、DOE五步法二、分析要点1.ANOVA表的分析2.分析评估回归的总效果3.分析评估各项效应的显著性 三、图像解释1.Pareto图2.正态效应图3.半正态效应图4.残差图5.Box-Cox变换结果图 四、判断模型是否需要改进五、删减模型判断6.主效应图7.等…

大数据技术之Hive2

目录标题 3、Hive 数据类型3.1 基本数据类型:3.2 集合数据类型:3.3 类型转化 4、DDL数据定义4.1 创建数据库4.2 查询数据库4.3 创建表4.4 管理表4.5 外部表4.6 管理表与外部表的相互转换4.7 分区表4.7.1 分区表基本操作4.7.2 分区表注意事项 4.7 修改表4…

C#using关键字的使用方法

这篇日志记录下C#中using关键字的使用方法。 Using的使用大致分别以下三种: 1:using指令(命名空间) using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Threading.Tasks; …

Java常见练手程序《“书写”百遍,其义自见》

1、锻炼重写方法、抽象类定义、常量、自定义异常与调用。 建立一个Java抽象类Drink,应当 a、声明一个抽象方法taste() 该方法负责输出饮料的味道 b、声明int型常量来代表不同的饮料类型 咖啡、啤酒、牛奶 c、声明静态方法getDrink(int drinkType) 根据传入…

1. 业务场景讲解设计模式(简单工厂模式)

现阶段我之所以再次学习设计模式,是因为感受到企业项目的多层封装与调用的复杂性,既然这样那肯定是有自己的设计道理的,能让系统更具有拓展性,安全性,易维护性。所以,我希望这次站在领导设计者的角度去实现…

如何为IP申请一个SSL证书?

打开www.zerossl.com官网,然后我们直接输入服务器的IP地址,然后直接点击Next Step。 接下来,我们输入自己的邮箱账号,直接注册。(如果点击后没有反应,请挂代理访问。) 然后我们到了下一页直接点…

mmcv与cuda,pytorch版本匹配要求

mmcv与cuda、pytorch版本兼容要求,见mmcv官方文档:https://mmcv.readthedocs.io/zh_CN/latest/get_started/installation.html#pip 安装部分。 目前网页上默认最新版2.x版本,若要切换旧版,点击页面左下角切换即可。 查看自己的cud…

面向对象设计原则和GOF23种设计模式

写在前面 本文一起看下面向对象的设计原则和GOF 23 种常用的设计模式。 1:面向对象设计原则 面向对象设计原则可以简单的总结为SOLID,分别看下。 1.1:S single responsibility principle,单一职责原则,即一个类只…