Múltiples vulnerabilidades en UPDF
- UPDF, versión 1.8.5.0.
INCIBE ha coordinado la publicación de 3 vulnerabilidades, de severidad alta, que afectan a UPDF, un editor de PDF. Las vulnerabilidades han sido descubiertas por Alexander Huaman Jaimes.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- de CVE-2025-10213 a CVE-2025-10215: CVSS v4.0: 7 | CVSS AV:L/AC:L/AT:N/PR:L/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N | CWE-427
No hay solución reportada por el momento.
Vulnerabilidad de secuestro de orden de búsqueda de DLL en el ejecutable UPDF.exe para Windows en su versión 1.8.5.0, permite a los atacantes con acceso local ejecutar código arbitrario colocando un archivo DLL de su elección, lo que podría dar lugar a la ejecución de código arbitrario y persistencia. La relación de archivos DLL, directorios e identificadores asignados es la siguiente:
- CVE-2025-10213: archivo dxtn.dll en el directorio 'C:\Users\<user>\AppData\Local\Microsoft\WindowsApps\'.
- CVE-2025-10214: archivo FREngine.dll en el directorio 'C:\Users\<user>\AppData\Local\UPDF\FREngine\Bin64\'.
- CVE-2025-10215: varchivo FREngine.dll en el directorio 'C:\Users\Public\AppData\Local\UPDF\FREngine\Bin64\'.
