漏洞描述
监测到福昕软件(Foxit Software)发布安全更新,用于解决11.0版本前的多个漏洞, 这些漏洞被跟踪为CVE-2021-38574, CVE-2021-38573, CVE-2021-38572, CVE-2021-38571, CVE-2021-38570等。建议受影响用户尽快更新至安全版本进行防护,并做好资产自查以及预防工作,避免发生网络安全事件。
漏洞编号
CVE-2021-38574,CVE-2021-38573,CVE-2021-38572,CVE-2021-38571,CVE-2021-38570等
漏洞危害
1) 在 10.1.4 之前,能够通过字符串末尾的精心设计的数据进行 SQL 注入
2) 在 10.1.4 之前,能够写入任意文件,因为没有验证CombineFiles路径名。
3) 在 10.1.4 之前,能够写入任意文件,因为extractPages路径名没有被验证。
4) 在 10.1.4 之前,能够DLL劫持,即CNVD-C-2021-68000和CNVD-C-2021-68502。
5) 在 10.1.4 之前,攻击者可以通过符号链接删除任意文件(在卸载过程中)。
漏洞等级高危
受影响版本
Foxit Readerversion ≤ 10.1.4
修复方案
目前厂商已修复该漏洞,建议及时在官网更新至最新版本
下载链接:
1. https://www.foxit.com/downloads/
参考链接
1. https://www.foxit.com/support/security-bulletins.html