8827太阳集团

首页 > 安全钻研 > 安全传递 > 安全公告

【缝隙公告】Mozilla PDF.js代码执行缝隙（CVE-2024-4367）

颁布功夫 2024-05-14

一、缝隙概述

缝霞称	Mozilla PDF.js代码执行缝隙
CVE ID	CVE-2024-4367
缝隙类型	代码注入	发现功夫	2024-05-08
缝隙评分	暂无	缝隙等级	高危
攻击向量	网络	所需权限	无
利用难度	低	用户交互	是
PoC/EXP	未公开	在野利用	未发现

PDF.js是一个由Mozilla开发的、宽泛使用的开源便携式文档体式 (PDF) 查看器，，，，，，，，能够在Web浏览器中显示PDF文档，，，，，，，，而无需依赖任何本地插件，，，，，，，，PDF.js被内置于Mozilla Firefox中，，，，，，，，也可被其他Web浏览器使用。。。。。。。。

2024年5月8日，，，，，，，，8827太阳集团VSRC监测到Mozilla PDF.js中存在一个代码执行缝隙（CVE-2024-4367）。。。。。。。。

Mozilla PDF.js 4.2.67之前版本在font_loader.js 中存在代码注入缝隙，，，，，，，，当PDF.js 配置isEvalSupported 选项设置为 true（默认值）时会将输入传递到函数，，，，，，，，威胁者可通过诱导用户打开恶意PDF文件来利用该缝隙，，，，，，，，成功利用可能导致在登录用户或托管域的高低文中执行肆意JavaScript。。。。。。。。

该问题在React-PDF中被追踪为CVE-2024-34342，，，，，，，，CVSS评分为7.1，，，，，，，，影响了React-PDF 7.7.3之前和8.0.2之前版本，，，，，，，，当React-PDF加载恶意PDF并启用isEvalSupported设置（默以为 true）时，，，，，，，，可能会导致在登录用户或托管域的高低文中执行JavaScript。。。。。。。。

二、影响领域

Mozilla PDF.js < 4.2.67

pdfjs-dist (npm) < 4.2.67

react-pdf (npm) < 7.7.3

8.0.0<= react-pdf (npm) < 8.0.2

注：pdfjs-dist是Mozilla PDF.js 库的通用构建；；；；；React-PDF是一个React组件，，，，，，，，它封装了PDF.js库。。。。。。。。

三、安全措施

3.1 升级版本

目前这些缝隙已经建复，，，，，，，，受影响用户可更新到PDF.js/pdfjs-dist版本4.2.67、react-pdf 7.7.3或8.0.2。。。。。。。。

下载链接：

https://github.com/mozilla/pdf.js/tags

https://github.com/wojtekmaj/react-pdf/tags

3.2 一时措施

可通过将isEvalSupported设置为false来缓解这两个缝隙。。。。。。。。对于 PDF.js，，，，，，，，该设置是全局配置的；；；；；而在React-PDF中，，，，，，，，需在Document组件的options属性中指定options.isEvalSupported为false。。。。。。。。

3.3 通用建议

l 定期更新系统补丁，，，，，，，，削减系统缝隙，，，，，，，，提升服务器的安全性。。。。。。。。

l 加强系统和网络的接见节造，，，，，，，，批改防火墙战术，，，，，，，，关关非必要的利用端口或服务，，，，，，，，削减将危险服务（如SSH、RDP等）露出到公网，，，，，，，，削减攻击面。。。。。。。。

l 使用企业级安全产品，，，，，，，，提升企业的网络安全机能。。。。。。。。

l 加强系统用户和权限治理，，，，，，，，启用多成分认证机造和最幼权限准则，，，，，，，，用户和软件权限应维持在最低限度。。。。。。。。

l 启用强密码战术并设置为定期批改。。。。。。。。

3.4 参考链接

https://github.com/mozilla/pdf.js/security/advisories/GHSA-wgrm-67xf-hhpq

https://github.com/wojtekmaj/react-pdf/security/advisories/GHSA-87hq-q4gp-9wr4

https://github.com/mozilla/pdf.js/pull/18015

https://security.snyk.io/vuln/SNYK-JS-PDFJSDIST-6810403

四、版本信息

版本	日期	备注
V1.0	2024-05-14	初次颁布

五、附录

5.1 8827太阳集团简介

8827太阳集团成立于1996年，，，，，，，，是由留美博士严望佳女士创建的、占有齐全自主知识产权的信息安全高科技企业。。。。。。。。是国内最具实力的信息安全产品、安全服务解决规划的领航企业之一。。。。。。。。

公司总部位于北京市中关村软件园8827太阳集团大厦，，，，，，，，公司员工6000余人，，，，，，，，研发团队1200余人, 技术服务团队1300余人。。。。。。。。在全国各省、视注自治区设立分支机构六十多个，，，，，，，，占有覆盖全国的销售系统、渠路系统和技术支持系统。。。。。。。。公司于2010年6月23日在丽江中幼板挂牌上市。。。。。。。。（股票代码：002439）

多年来，，，，，，，，8827太阳集团致力于提供拥有国际竞争力的自主创新的安全产品和最佳实际服务，，，，，，，，援手客户全面提升其IT基础设施的安全性和出产效力，，，，，，，，为打造和提升国际化的民族信息安全产业领军品牌而不懈致力。。。。。。。。

5.2 关于8827太阳集团

8827太阳集团安全应急响应中心已颁布1000多个缝隙公告微风险预警，，，，，，，，我们将持续跟踪全球最新的网络安全事务和缝隙，，，，，，，，为企业的信息安全保驾护航。。。。。。。。

关注我们：

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

Copyright ? 8827太阳集团版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】