В PDF-платформах Foxit и Apryse нашли 16 опасных уязвимостей

Уязвимости, обнаруженные в популярных PDF-платформах от Foxit и Apryse, позволяют получать доступ к учётным записям и копировать данные. Всего исследователи из Novee обнаружили в сервисах 16 проблем безопасности. Эксплуатация уязвимостей осуществлялась через специально подготовленные документы или вредоносные ссылки. Оба вендора уже выпустили патчи после ответственного раскрытия информации.

Как объяснили исследователи, под прицелом оказались два продукта. Первый — Apryze WebViewer, который раньше назывался PDFTron. Это JavaScript-библиотека для встраивания просмотра и редактирования документов непосредственно в веб-приложения. Второй — несколько облачных сервисов Foxit PDF, в частности Foxit PDF Editor Cloud. Они работают через браузер и обеспечивают полный набор инструментов для работы с PDF: просмотр, создание, редактирование, подписи и всё остальное.

В Apryse специалисты нашли одну критическую уязвимость и две с высоким уровнем опасности. В продуктах Foxit выловили две с высоким уровнем риска и 11 средних по тяжести. В списке оказались DOM XSS, SSRF, хранимый и отражённый межсайтовый скриптинг, path traversal и инъекции команд операционной системы.

Чаще всего уязвимости удавалось использовать в сценариях, когда PDF-просмотрщики встроены в приложения с авторизацией. В таких сценариях злоумышленник мог через XSS захватить учётную запись. Также он мог получить доступ к конфиденциальным данным из документов пользователей, манипулировать содержимым или закрепиться в системе надолго. Вредоносный код сохранялся даже в случае обновления страницы.

Специалисты отметили важный момент: компонент, который все считали низкорисковым, может незаметно превратиться в поверхность атаки, представляющую серьёзную угрозу. Многие уязвимости изначально выглядели безобидными, но на деле оказались критичными для безопасности.