CVE-2024-4367 PDF.js RCE 分析（译）

文章预览

CVE-2024-4367 – PDF.js中的任意JavaScript执行 摘要 本文详细介绍了由Codean Labs发现的PDF.js中的CVE-2024-4367漏洞。PDF.js是由Mozilla维护的基于JavaScript的PDF查看器。这个漏洞允许攻击者在打开恶意PDF文件时立即执行任意JavaScript代码。这影响到了 所有Firefox用户 （版本小于126），因为Firefox使用PDF.js来展示PDF文件，同时也严重影响了 许多基于Web和Electron的应用 ，这些应用（间接）使用PDF.js来提供预览功能。 如果您是处理PDF文件的JavaScript/Typescript应用程序的开发者，我们建议您检查您是否（间接）使用了PDF.js的易受攻击版本。查看本文末尾的缓解措施详情。 引言 PDF.js有两种常见的使用场景。首先，它是Firefox内置的PDF查看器。如果您使用Firefox，并且曾经下载或浏览过PDF文件，您就会看到它在起作用。其次，它被打包进一个名为 pdfjs-dist 的Node模块中，根据NPM ………………………………