Especialistas en ciberseguridad reportan la detección de al menos tres vulnerabilidades en Foxit PhantomPDF y Foxit Reader for Windows, dos populares herramientas de visualización PDF. Acorde al reporte, la explotación exitosa de estas fallas permitiría el despliegue de múltiples actividades maliciosas.
A continuación se presentan breves reportes de las fallas detectadas, además de sus respectivas claves de identificación y puntajes asignados según el Common Vulnerability Scoring System (CVSS).
CVE-2021-2183: Un error use-after-free permitiría a los actores de amenazas remotos ejecutar código arbitrario en el sistema objetivo.
La vulnerabilidad recibió un puntaje CVSS de 7.7/10 y su explotación exitosa permitiría a los hackers comprometer por completo los sistemas afectados.
CVE-2021-21870: Un error use-after-free permite a los hackers remotos ejecutar código arbitrario en el sistema vulnerable.
La falla recibió un puntaje CVSS de 7.7/10 y su explotación exitosa de esta vulnerabilidad permitiría que los atacantes pongan en riesgo el sistema vulnerable.
CVE-2021-21893: Un error use-after-free dentro de la propiedad “event.target” de las herramientas afectadas permitiría a los actores de amenazas remotos ejecutar código arbitrario en el sistema comprometido.
La falla recibió un puntaje CVSS de 7.7/10 y su explotación exitosa permitiría a los hackers remotos poner en riesgo los sistemas expuestos.
Estas tres fallas residen en los siguientes productos y versiones afectados:
- Foxit Reader for Windows: 11.0.0.49893
- Foxit PhantomPDF: 10.1.4.37651 y 11.0.0.49893
Si bien las vulnerabilidades pueden ser explotadas por hackers remotos no autenticados, los investigadores no han detectado intentos de explotación activa o la existencia de una variante de malware asociada al ataque. Las fallas ya han sido abordadas, por lo que se recomienda a los usuarios de Foxit actualizar a una versión segura de los productos afectados.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.