Vulnérabilités dans le lecteur et l’éditeur de PDF Foxit Reader et PhantomPDF

Plusieurs vulnérabilités ont été découvertes au sein de l’éditeur de PDF Foxit PhantomPDF. Ces  vulnérabilités peuvent permettre à un attaquant distant et non authentifié d'injecter du code arbitraire sur les dispositifs où de Foxit PhantomPDF est installé. Une interaction de l'utilisateur est nécessaire pour exploiter ces vulnérabilités dans la mesure où la cible doit visiter une page malveillante ou ouvrir un fichier malveillant.

CVE-2021-27271 [Score CVSS v3 : 7.8] : La faille spécifique existe dans la gestion des objets U3D intégrés dans les fichiers PDF. Le problème résulte de l'absence de validation correcte des données fournies par l'utilisateur, ce qui peut entraîner une corruption de la mémoire.

CVE-2021-27270 [Score CVSS v3 : 7.8] :  La faille spécifique existe dans l'analyse des images JPEG2000. Le problème résulte de l'absence de validation correcte des données fournies par l'utilisateur, ce qui peut entraîner une lecture au-delà de la fin d'une structure allouée. Un attaquant peut tirer parti de cette vulnérabilité pour exécuter du code dans le contexte du processus actuel.

CVE-2021-27269[Score CVSS v3 : 7.8] : La faille spécifique existe dans la gestion des objets U3D dans les fichiers PDF. Le problème résulte de l'absence de validation correcte des données fournies par l'utilisateur, ce qui peut entraîner une écriture au-delà de la fin d'une structure allouée. Un attaquant peut tirer parti de cette vulnérabilité pour exécuter du code dans le contexte du processus en cours.

CVE-2021-27268[Score CVSS v3 : 7.8] : La faille spécifique existe dans la gestion des objets U3D dans les fichiers PDF. Le problème résulte de l'absence de validation de l'existence d'un objet avant d'effectuer des opérations sur cet objet. Un attaquant peut tirer parti de cette vulnérabilité pour exécuter du code dans le contexte du processus en cours.