Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Foxit Reader y PhantomPDF (CVE-2018-16296)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-416 Utilización después de liberación
Fecha de publicación:
08/10/2018
Última modificación:
21/11/2018

Descripción

Existe una vulnerabilidad explotable de uso de memoria previamente liberada en el motor JavaScript de Foxit Reader en versiones anteriores a la 9.3 y PhantomPDF en versiones anteriores a la 9.3. Esta vulnerabilidad es diferente de CVE-2018-16291, CVE-2018-16292, CVE-2018-16293, CVE-2018-16294, CVE-2018-16295 y CVE-2018-16297. Un documento PDF especialmente manipulado puede hacer que se reutilice un objeto previamente liberado en la memoria, lo que resulta en la ejecución de código arbitrario. Un atacante necesita engañar a un usuario para que abra el archivo malicioso para desencadenar esta vulnerabilidad. Si la extensión del plugin del navegador está habilitada, visitar un sitio malicioso también puede desencadenar esta vulnerabilidad.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:foxitsoftware:phantompdf:*:*:*:*:*:*:*:* 9.2.0.9297 (incluyendo)
cpe:2.3:a:foxitsoftware:reader:*:*:*:*:*:*:*:* 9.2.0.9297 (incluyendo)
cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*