Vulnérabilité de type exécution de code arbitraire JavaScript dans Mozilla PDF.js

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine : bjCSIRT

Numéro : 2024/ALERTE/031

Date de l’alerte : 23/05/2024

APERÇU :

Mozilla PDF.js est affecté par une vulnérabilité de type exécution de code JavaScript qui permettrait à un acteur malveillant d’exécuter du code arbitraire lors du chargement d’un fichier PDF.

DESCRIPTION :

PDF.js est une bibliothèque JavaScript open source intégrée à Mozilla Firefox qui permet le rendu des documents PDF dans le navigateur. Il est couramment utilisé dans les applications Web pour afficher des fichiers PDF sans avoir besoin de plugins externes.  

Cette bibliothèque est affectée par une vulnérabilité libellée CVE-2024-4367. Elle survint lorsque PDF.js est configuré avec la valeur par défaut de l’option isEvalSupported mise à true. Son exploitation permettrait à un acteur malveillant d’exécuter du code JavaScript arbitraire dès l’ouverture d’un fichier PDF malveillant. 

Cette vulnérabilité est classée élevée avec un score de sévérité de 7.5

IMPACT :

  • Compromission du système ; 
  • Exécution de code arbitraire ; 
  • Accès aux données sensibles. 

SYSTÈMES AFFECTÉS : 

  • Firefox : versions antérieures à 126 ; 
  • Firefox ESR : versions antérieures à 115.11 ;  
  • Thunderbird : versions antérieures à 115.11. 

MESURES À PRENDRE : 

Il est recommandé de : 

  • définir la valeur de l’option isEvalSupported à false dans la configuration de PDF.js ; 
  • appliquer les mises à jour disponibles sur le site de l’éditeur. 

RÉFÉRENCES :

Partagez sur vos réseaux.