周百万下载量的 NPM 包可执行任意 JS 代码，数十万网站可能受影响！

文章预览

大家好，我是 ConardLi 。 最近 Codean Labs 对外披露了 PDF.js 的一个任意代码执行漏洞（CVE-2024-4367）。 由于 PDF.js 使用非常广泛，且漏洞利用简单，危害很大，漏洞评级非常高。 PDF.js 是一个基于 JavaScript 的 PDF 查看器，由 Mozilla 维护。此漏洞允许攻击者在打开恶意 PDF 文件时立即执行任意 JavaScript 代码。 今天我们一起来学习下这个漏洞具体的咋回事。 PDF.js 有两个常见的使用场景。首先，它是火狐浏览器的内置 PDF 阅读器。如果你使用火狐浏览器，并且曾经下载或者浏览过 PDF 文件，你就会看到它在起作用。其次，它被打包成一个名为 pdfjs-dist 的 Node 模块，根据 NPM 的数据，每周有大约 270 万次的下载量。以这种形式，网站可以用它来提供嵌入式 PDF 预览功能。从代码托管平台到笔记应用程序，各种各样的应用都在使用它。 PDF 的 ………………………………