کشف آسیب‌پذیری در PDF.js و React-PDF

دو آسیب‌پذیری در PDF.js شناسایی شده‌اند که با باز کردن فایل PDF، امکان اجرای کد را برای مهاجم فراهم می‌کند.

به گزارش افتانا، دو آسیب‌پذیری با شناسه‌های CVE-2024-34342 و CVE-2024-4367 و شدت‌ بالا در PDF.js کشف شده است که با باز کردن یک فایل PDF، امکان اجرای کد را برای مهاجم فراهم می‌کند. این آسیب‌پذیری چندین برنامه و مرورگر را که از React-PDF استفاده می‌کنند نیز تحت تاثیر قرار می‌دهد. با توجه به استفاده میلیون‌ها کاربر از فایل‌های PDF، این آسیب‌پذیری می‌تواند میلیون‌ها کاربر را تحت تاثیر قرار دهد.

PDF.js به مرورگرها اجازه می‌دهد که فایل‌های PDF را بدون استفاده از افزونه یا نرم‌افزار خارجی برای کاربر نمایش دهند. این کتابخانه در نسخه‌های 19 و بالاتر مرورگر فایرفاکس به کار رفته است و در حقیقت توسط مرورگرهای زیادی ازجمله Mozilla Firefox، Safari، Google Chrome و Edge استفاده می‌شود.

این آسیب‌پذیری در نسخه‌های 8.0.1 یا پایین‌تر و 8.0.0 و بالاتر کتابخانه npm/react-pdf وجود دارد که در نسخه 8.0.2 برطرف شده است. همچنبن در نسخه‌های قبل‌از از 7.7.3 کتابخانه npm/react-pdf وجود دارد که در نسخه 7.7.3 برطرف شده است. در نسخه 4.1.392 و قبل‌تر کتابخانه pdfjs-dist - npm نیز وجود دارد که در نسخه 4.2.67 برطرف شده است.

بنابراین توصیه می‌شود کاربران، مرورگر خود را به آخرین نسخه به‌روزرسانی کنند تا تحت تاثیر حملات احتمالی قرار نگیرند. کاربرانی که از برنامه‌های وابسته به React PDF استفاده می‌کنند نیز باید نسبت به نصب به‌روزرسانی‌های امنیتی برنامه خود اقدام کنند.