0x00 Предисловие
PDF.js — это портативная программа просмотра форматов документов, созданная с использованием HTML5.
pdf.js создается сообществом и поддерживается Mozilla. Наша цель — создать универсальную основанную на веб-стандартах платформу для анализа и рендеринга PDF-файлов.
0x01 Описание уязвимости
В файле font_loader.js существует уязвимость, связанная с внедрением кода. Если для параметра isEvalSupported конфигурации PDF.js установлено значение true (значение по умолчанию), входные данные будут переданы в функцию eval(). Злоумышленник может воспользоваться этой уязвимостью, побудив пользователя. успешно открыть вредоносный PDF-файл. Уязвимость можно использовать для выполнения произвольного кода JavaScript.
0x02 номер CVE
CVE-2024-4367
0x03 затронутая версия
Mozilla PDF.js < 4.2.67
pdfjs-dist(npm) < 4.2.67
react-pdf(npm) < 7.7.3
8.0.0 <= react-pdf(npm) < 8.0.2
0x04 Подробности об уязвимости
https://github.com/mozilla/pdf.js/security/advisories/GHSA-wgrm-67xf-hhpq
ссылка на ссылку 0x05
https://github.com/mozilla/pdf.js/security/advisories/GHSA-wgrm-67xf-hhpq