Questa vulnerabilità consente agli aggressori remoti di comunicare informazioni sensibili su impianti interessati di Foxit PhantomPDF 9.7.1.29511. interazione dell’utente è necessaria per sfruttare la vulnerabilità in quanto la destinazione deve visitare una pagina dannoso o aprire un file dannoso. Il difetto specifico esiste all’interno della gestione dei U3D oggetti nei file PDF. I problema deriva dalla mancanza di un’adeguata validazione dei dati forniti dall’utente, che può risultare in una lettura oltre la fine di un oggetto allocato. Un aggressore può sfruttare questa in combinazione con altre vulnerabilità per eseguire codice nel contesto del processo corrente. Era ZDI-CAN-10461.
https://www.foxitsoftware.com/support/security-bulletins.php
https://www.zerodayinitiative.com/advisories/ZDI-20-529/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10901
