一、 漏洞 CVE-2023-40469 基础信息
漏洞信息
# PDF-XChange Editor XPS文件解析越界读取信息泄露漏洞
## 漏洞概述
PDF-XChange Editor中存在一个XPS文件解析越界读取漏洞,允许远程攻击者暴露受影响安装中的敏感信息。需要用户交互才能利用此漏洞,即目标用户必须访问恶意页面或打开恶意文件。
## 影响版本
未提供具体版本信息
## 漏洞细节
该漏洞存在于XPS文件的解析过程中。问题源于用户提供的数据缺乏适当的验证,导致读取超出已分配对象的末尾,从而引发信息泄露。攻击者可以将此漏洞与其他漏洞结合利用,以在当前进程中执行任意代码。
## 漏洞影响
攻击者可以通过访问恶意页面或打开恶意文件,利用该漏洞读取并暴露敏感信息。在某些情况下,可能结合其他漏洞实现任意代码执行。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
PDF-XChange Editor XPS File Parsing Out-Of-Bounds Read Information Disclosure Vulnerability
来源:美国国家漏洞数据库 NVD
漏洞描述信息
PDF-XChange Editor XPS File Parsing Out-Of-Bounds Read Information Disclosure Vulnerability. This vulnerability allows remote attackers to disclose sensitive information on affected installations of PDF-XChange Editor. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file.
The specific flaw exists within the parsing of XPS files. The issue results from the lack of proper validation of user-supplied data, which can result in a read past the end of an allocated object. An attacker can leverage this in conjunction with other vulnerabilities to execute arbitrary code in the context of the current process. Was ZDI-CAN-20621.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
跨界内存读
来源:美国国家漏洞数据库 NVD
漏洞标题
PDF-XChange Editor 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
PDF-XChange Editor是PDF-XChange公司的一个运行在 Microsoft Windows 系统中的 PDF 文件查看软件。 PDF-XChange Editor 存在安全漏洞,该漏洞源于 XPS File Parsing 越界读取信息泄露漏洞。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-40469 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2023-40469 的情报信息
-
标题: ZDI-23-1148 | Zero Day Initiative -- 🔗来源链接
标签: x_research-advisory
- https://nvd.nist.gov/vuln/detail/CVE-2023-40469