Vulnerabilidad en Foxit PDF Editor y Reader (CVE-2026-3775)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-427
Elemento no controlado en la ruta de búsqueda
Fecha de publicación:
01/04/2026
Última modificación:
14/04/2026
Descripción
El servicio de actualización de la aplicación, al buscar actualizaciones, carga ciertas bibliotecas del sistema desde una ruta de búsqueda que incluye directorios escribibles por usuarios con pocos privilegios y no está estrictamente restringida a ubicaciones de sistema confiables. Debido a que estas bibliotecas pueden ser resueltas y cargadas desde ubicaciones escribibles por el usuario, un atacante local puede colocar una biblioteca maliciosa allí y hacer que se cargue con privilegios de SYSTEM, lo que resulta en una escalada de privilegios local y ejecución de código arbitrario.
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:foxit:pdf_editor:*:*:*:*:*:*:*:* | 13.2.2.24014 (incluyendo) | |
| cpe:2.3:a:foxit:pdf_editor:*:*:*:*:*:*:*:* | 14.0.0.33046 (incluyendo) | 14.0.2.33402 (incluyendo) |
| cpe:2.3:a:foxit:pdf_editor:*:*:*:*:*:*:*:* | 2023.1.0.15510 (incluyendo) | 2023.3.0.23028 (incluyendo) |
| cpe:2.3:a:foxit:pdf_editor:*:*:*:*:*:*:*:* | 2024.1.0.23997 (incluyendo) | 2024.4.1.27687 (incluyendo) |
| cpe:2.3:a:foxit:pdf_editor:*:*:*:*:*:*:*:* | 2025.1.0.27937 (incluyendo) | 2025.3.0.35737 (incluyendo) |
| cpe:2.3:a:foxit:pdf_reader:*:*:*:*:*:*:*:* | 2025.3.0.35737 (incluyendo) | |
| cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página