22 may 2023

Vulnerabilidad crítica en Foxit PDF Reader y Foxit PDF Editor (v12.1.2)

Tras el anuncio inicial de una vulnerabilidad crítica (CVE-2023-27363) que permitía la ejecución remota de código en Foxit Reader, recientemente se ha publicado una prueba de concepto funcional que permite llevar a cabo la explotación de dicha vulnerabilidad a través de la creación de un documento PDF especialmente manipulado.

Foxit Reader es un lector de documentos PDF gratuito de uso ampliamente extendido, y que es utilizado a menudo como alternativa al lector de documentos PDF de Adobe Reader.

La vulnerabilidad CVE-2023-27363 fue reportada inicialmente por el investigador Andrea Micalizzi (aka rgod) aprovecha un problema en la gestión de determinados códigos JavaScript al validar el parámetro cPath en el método exportXFAData.

La PoC publicada en GitHub por j00sean se basa en el trabajo anterior realizado por Sebastian Apelt (aka bitshifter123), y disponible públicamente en este repositorio. El siguiente GIF muestra la ejecución de la PoC:

Esta situación permite una escritura arbitraria de archivos en el sistema (bajo el contexto de los permisos del usuario). Todo ello puede ser aprovechado para el despliegue de un ataque de ejecución de código mediante la creación de un archivos con extensión .HTA en el ASEP (AutoStart Entry Point) "StartUp folder" localizado en la ruta C:\Users\[Username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\/code>

Aprovechando esta técnica es posible la ejecución de código arbitrario cuando el usuario afectado vuelva a iniciar sesión o tras un reinicio del sistema.

Aunque la vulnerabilidad fue anunciada inicialmente el 2 de mayo de 2023, el pasado 12 de mayo se hizo pública una prueba de concepto en el repositorio de Github. La misma muestra la ejecución de código arbitrario a través de la apertura de un documento PDF con las versiones de Foxit Reader afectadas.

A continuación, se detallan las características principales de la vulnerabilidad CVE-2023-27363:

  • Identificador CVE: CVE-2023-27363.
  • Fecha de publicación: 02/05/2023.
  • Software Afectado: Foxit PDF Reader.
  • CVSS Score: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H (9.8 Critical)
  • Versiones afectadas: 12.1.1.15289 y anteriores.

Mitigación

La solución principal consiste en actualizar urgentemente el software Foxit PDF Reader. Las nuevas versiones disponibles corrigen esta vulnerabilidad y están disponibles a través de la página web oficial del fabricante: Actualización Foxit PDF Reader 12.1.2

Foxit publicó un comunicado con la información oficial y las posibles actualizaciones relativas a esta vulnerabilidad.

Fuentes: TARLogic

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!