یک آسیبپذیری با شناسه CVE-2023-42076 و شدت بالا (7.8) در PDF-XChange Editor کشف شده است. این نقص امنیتی ناشی از عدم اعتبارسنجی مناسب طول دادههای ارائه شده توسط کاربر قبل از کپی کردن آن در بافر مبتنی بر پشته با طول ثابت است. یک مهاجم با بهرهبرداری از این نقص میتواند کد دلخواه خود را از راه دور اجرا کند.
بر اساس بردار حمله این آسیبپذیری CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H بهرهبرداری از آن از طریق شبکه محلی امکانپذیر است (AV:L) و نیازمند پیشزمینه نبوده و بهراحتی قابل تکرار است و به شرایط خاصی نیاز نیست(AC: L)، برای انجام حمله به حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR: N) و به تعامل کاربر نیاز دارند (UL:R)، بهرهبرداری از آسیبپذیریهای مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U) و هر سه ضلع امنیت با شدت بالایی تحت تأثیر قرار میگیرند (C:H/I:H/A:H).
محصولات تحت تأثیر
این آسیبپذیری نسخه 10.2.1.385 PDF-XChange Editor را تحت تأثیر قرار میدهد.
توصیههای امنیتی
به کاربران توصیه میشود نسخه PDF-XChange Editor خود را به 10.3.0.386 ارتقا دهند.
منبع خبر:
- 41