pdfjs-dist vor 4.2.67 PDF.js erweiterte Rechte

CVSS Meta Temp Score	Aktueller Exploitpreis (≈)	CTI Interest Score
7.2	$0-$5k	0.00

Zusammenfassunginfo

Es wurde eine Schwachstelle in pdfjs-dist entdeckt. Sie wurde als kritisch eingestuft. Dabei geht es um eine nicht genauer bekannte Funktion der Datei PDF.js. Durch die Manipulation mit unbekannten Daten kann eine Remote Privilege Escalation-Schwachstelle ausgenutzt werden. Die Verwundbarkeit wird als CVE-2024-4367 geführt. Der Angriff lässt sich über das Netzwerk starten. Ausserdem ist ein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.

Detailsinfo

Es wurde eine Schwachstelle in pdfjs-dist gefunden. Sie wurde als kritisch eingestuft. Es betrifft eine unbekannte Funktion der Datei PDF.js. Durch Manipulieren mit einer unbekannten Eingabe kann eine Remote Privilege Escalation-Schwachstelle ausgenutzt werden. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

A type check was missing when handling fonts in PDF.js, which would allow arbitrary JavaScript execution in the PDF.js context. This vulnerability affects Firefox < 126, Firefox ESR < 115.11, and Thunderbird < 115.11.

Auf github.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird seit dem 30.04.2024 unter CVE-2024-4367 geführt. Sie ist leicht ausnutzbar. Der Angriff kann über das Netzwerk erfolgen. Es sind sowohl technische Details als auch ein öffentlicher Exploit zur Schwachstelle bekannt.

Der Exploit wird unter exploit-db.com zur Verfügung gestellt. Er wird als proof-of-concept gehandelt. Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 208551 (CentOS 7 : thunderbird (RHSA-2024:2913)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.

Ein Upgrade auf die Version 4.2.67 vermag dieses Problem zu beheben.

Unter anderem wird der Fehler auch in den Datenbanken von Exploit-DB (52273) und Tenable (208551) dokumentiert. If you want to get best quality of vulnerability data, you may have to visit VulDB.

Produktinfo

Name

• pdfjs-dist

CPE 2.3info

• 🔍

CPE 2.2info

• 🔍

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 7.6
VulDB Meta Temp Score: 7.2

VulDB Base Score: 6.3
VulDB Temp Score: 5.7
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 8.8
NVD Vector: 🔍

CVSSv2info

AV	AC	Au	C	I	A
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳
💳	💳	💳	💳	💳	💳

Vektor	Komplexität	Authentisierung	Vertraulichkeit	Integrität	Verfügbarkeit
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten
freischalten	freischalten	freischalten	freischalten	freischalten	freischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Erweiterte Rechte
CWE: Unbekannt
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Download: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Day	freischalten	freischalten	freischalten	freischalten
Heute	freischalten	freischalten	freischalten	freischalten

Nessus ID: 208551
Nessus Name: CentOS 7 : thunderbird (RHSA-2024:2913)

Exploit-DB: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Upgrade: pdfjs-dist 4.2.67

Timelineinfo

30.04.2024 🔍
07.05.2024 +7 Tage 🔍
07.05.2024 +0 Tage 🔍
30.04.2025 +358 Tage 🔍

Quelleninfo

Advisory: github.com
Status: Bestätigt

CVE: CVE-2024-4367 (🔍)
GCVE (CVE): GCVE-0-2024-4367
GCVE (VulDB): GCVE-100-263370
scip Labs: https://www.scip.ch/?labs.20161013

Eintraginfo

Erstellt: 07.05.2024 18:48
Aktualisierung: 30.04.2025 14:42
Anpassungen: 07.05.2024 18:48 (49), 15.10.2024 22:39 (2), 28.03.2025 08:37 (13), 30.04.2025 14:42 (11)
Komplett: 🔍
Cache ID: 216::103

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Diskussion