CVE-2023-27363 FOXIT PDF READER与EDITOR任意代码执行漏洞复现

目录

0x01 声明：

0x02 简介：

0x03 漏洞概述：

0x04 影响版本：

0x05 环境搭建：

文件下载：

0x06 漏洞复现：

POC下载：

利用POC：

RCE：

0x07 修复建议：

官方升级

手动升级

---

0x01 声明：

        仅供学习参考使用，请勿用作违法用途，否则后果自负。

0x02 简介：

    福昕软件注册于国家科技部批准建立的十二个国家火炬计划软件产业基地之一的福州软件园和北京中关村高科技园区。公司专注于电子文档技术的研究和开发，拥有一套完全自有知识产权的PDF核心技术实现，提供PDF从生成、编辑、加工、搜索、显示、打印等一整套处理流程的解决方案，是国内为数不多的面向全球市场的基础软件开发商之一。

0x03 漏洞概述：

    由于Foxit PDF Reader与Editor中对exportXFAData方法中cPath参数的验证存在缺陷，因而迫使将.hta文件写入Startup目录中，攻击者通过诱导受害者打开恶意PDF文档，在系统重启后，最终可实现任意代码执行。CVSS评分为7.8，请受影响的用户尽快采取措施进行防护。

0x04 影响版本：

    Foxit PDF Reader <= 12.1.1.15289

    Foxit PDF Editor 12.x <= 12.1.1.15289

    Foxit PDF Editor 11.x <= 11.2.5.53785

    Foxit PDF Editor <= 10.1.11.37866

0x05 环境搭建：

文件下载：

链接：https://pan.baidu.com/s/1xwIgkFODGdQKrwilIwo09Q?pwd=k2rk

提取码：k2rk

双击安装即可。

版本：12.0.226.13109

0x06 漏洞复现：

POC下载：

1、https://github.com/j00sean/SecBugs/tree/main/CVEs/CVE-2023-27363

2、链接：https://pan.baidu.com/s/1Ilnplhwi6m_F-0_J06D1ww?pwd=0hzr

提取码：0hzr

利用POC：

Win+R输入“shell:startup”监控下文件夹状态：

双击运行“秘制”PDF文件：

RCE：

重启电脑后自动触发RCE

0x07 修复建议：

官方升级

目前官方已发布安全版本修复此漏洞，建议受影响的用户及时升级防护：

https://www.foxit.com/downloads/

手动升级

在福昕PDF编辑器中，单击“帮助”>“关于福昕PDF编辑器”>“检查更新”以更新到最新版本。

注意：对于版本10及之前版本，请单击“帮助”>“检查更新”