Prueba de concepto (PoC) revelada en vulnerabilidad crítica de Foxit PDF Reader

Foxit Reader es un lector de documentos PDF multilingüe, tanto la versión completa como la básica pueden descargarse de forma gratuita, utilizado a menudo como alternativa al lector de documentos PDF de Adobe Reader.

Previamente Foxit dio a conocer una vulnerabilidad crítica identificada como CVE-2023-27363 con puntuación CVSS de 7.7 la cual es una falla que podría permitir la ejecución remota de código en Foxit Reader.

La vulnerabilidad aprovecha un problema en la gestión de determinados códigos JavaScript al validar el parámetro cPath en el método exportXFAData.

Recientemente se ha publicado una prueba de concepto (PoC) que permitiría a los atacantes explotar exitosamente dicha vulnerabilidad a través de la creación de un documento PDF especialmente diseñado.

La prueba de concepto publicada en GitHub, por el usuario j00sean, permite una escritura arbitraria de archivos en el sistema. Todo esto puede ser aprovechado para el despliegue de un ataque de ejecución de código mediante la creación de un archivo con extensión “.HTA” en el ASEP (AutoStart Entry Point) «StartUp folder» localizado en la ruta:

  • C:\Users\[Username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\/code>

Aprovechando esta técnica es posible la ejecución de código arbitrario cuando el usuario afectado vuelva a iniciar sesión o tras un reinicio del sistema.

Productos afectados

  • Foxit PDF Reader versiones 12.1.1.15289 y anteriores.

Solución

  • Foxit PDF Reader versión 12.1.2

Recomendaciones

  • Se recomienda a los usuarios de este software que implementen la última actualización disponible.

Referencias