دو آسیبپذیری با شناسههای CVE-2024-34342 و CVE-2024-4367 و شدت بالا در PDF.js کشف شده است که با باز کردن یک فایل PDF، امکان اجرای کد را برای مهاجم فراهم میکند. PDF.js به مرورگرها اجازه میدهد که فایلهای PDF را بدون استفاده از افزونه یا نرمافزار خارجی برای کاربر نمایش دهند. این کتابخانه در نسخههای 19 و بالاتر مرورگر فایرفاکس به کار رفته است.
این آسیبپذیری چندین برنامه و مرورگر که از React-PDF استفاده میکنند را نیز تحت تاثیر قرار میدهد. با توجه به استفاده میلیونها کاربر از فایلهای PDF، این آسیبپذیری میتواند میلیونها کاربر را تحت تاثیر قرار دهد. در حقیقت PDF.js توسط مرورگرهای زیادی از جمله Mozilla Firefox، Safari، Google Chrome و Edge استفاده میشود.
محصولات تحت تاثیر
آسیبپذیری مذکور:
• در نسخههای 8.0.1 یا پایینتر و 8.0.0 و بالاتر کتابخانه npm/react-pdf وجود دارد که در نسخه 8.0.2 برطرف شده است.
• در نسخههای قبلاز از 7.7.3 کتابخانه npm/react-pdf وجود دارد که در نسخه 7.7.3 برطرف شده است.
• در نسخه 4.1.392 و قبلتر کتابخانه pdfjs-dist - npm وجود دارد که در نسخه 4.2.67 برطرف شده است.
توصیههای امنیتی
توصیه میشود کلیه کاربران، مرورگر خود را به آخرین نسخه بهروزرسانی نمایند تا تحت تاثیر حملات احتمالی قرار نگیرند. کاربرانی که از برنامههای وابسته به React PDF استفاده میکنند نیز نسبت به نصب بهروزرسانیهای امنیتی برنامه خود اقدام نمایند.
منابع خبر:
[1]https://nvd.nist.gov/vuln/detail/CVE-2024-34342
[2]https://nvd.nist.gov/vuln/detail/CVE-2024-4367
[3]https://gbhackers.com/pdf-js-react-pdf-vulnerabilities-threat/
- 81