首頁 > 安全研究 > 安全通報 > 安全通告

NitroPDF多個遠程代碼執行漏洞安全通告

發布時間 2019-10-11

漏洞編號和級別


CVE編號:CVE-2019-5045,危險級別:高危,CVSS分值:廠商自評:8.8,官方未評定

CVE編號:CVE-2019-5050,危險級別:高危,CVSS分值:廠商自評:8.8,官方未評定

CVE編號:CVE-2019-5048,危險級別:高危,CVSS分值:廠商自評:8.8,官方未評定

CVE編號:CVE-2019-5047,危險級別:高危,CVSS分值:廠商自評:7.5,官方未評定

CVE編號:CVE-2019-5046,危險級別:高危,CVSS分值:廠商自評:8.8,官方未評定

CVE編號:CVE-2019-5053,危險級別:高危,CVSS分值:廠商自評:7.5,官方未評定


影響版本


Nitro Software NitroPDF 12.12.1.522版本


漏洞概述


Nitro Software NitroPDF是美國Nitro Software公司的一款用于查看和編輯PDF文件的軟件。


思科Talos披露NitroPDF中的多個遠程代碼執行漏洞。Nitro PDF允許用戶在其計算機上保存、閱讀和編輯PDF文件,該產品分為免費版和收費版。此次發現的漏洞都存在于收費的Pro版中。漏洞包括:


jpeg2000 ssizDepth遠程代碼執行漏洞(CVE-2019-5045)

攻擊者可借助惡意的文件利用該漏洞執行任意代碼。


Page Kids遠程代碼執行漏洞(CVE-2019-5050)

攻擊者可借助特制的PDF文件利用該漏洞執行任意代碼。


ICCBased色彩空間遠程代碼執行漏洞(CVE-2019-5048)

攻擊者可借助特制的PDF文件利用該漏洞執行任意代碼。


CharProcs遠程代碼執行漏洞(CVE-2019-5047)

Nitro Software NitroPDF中的CharProcs解析功能存在資源管理錯誤漏洞。該漏洞源于網絡系統或產品對系統資源(如內存、磁盤空間、文件等)的管理不當。


jpeg2000 yTsiz遠程代碼執行漏洞(CVE-2019-5046)

攻擊者可借助惡意的文件利用該漏洞執行任意代碼。


流長度解析功能內存損壞漏洞(CVE-2019-5053)

Nitro Software NitroPDF中的長度解析函數存在資源管理錯誤漏洞。該漏洞源于網絡系統或產品對系統資源(如內存、磁盤空間、文件等)的管理不當。


漏洞驗證


暫無POC/EXP。


修復建議


目前廠商暫未發布修復措施解決此安全問題,建議使用此軟件的用戶隨時關注廠商主頁或參考網址以獲取解決辦法:https://www.gonitro.com。


參考鏈接


https://blog.talosintelligence.com/2019/10/vuln-spotlight-Nitro-PDF-RCE-bugs-sept-19.html



上一篇 下一篇