一、 漏洞 CVE-2024-4367 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在处理PDF.js中的字体时缺少类型检查,这将允许在PDF.js上下文中执行任意的JavaScript代码。此漏洞影响Firefox < 126,Firefox ESR < 115.11和Thunderbird < 115.11。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
使用不兼容类型访问资源(类型混淆)
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A type check was missing when handling fonts in PDF.js, which would allow arbitrary JavaScript execution in the PDF.js context. This vulnerability affects Firefox < 126, Firefox ESR < 115.11, and Thunderbird < 115.11.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Mozilla Firefox 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。 Mozilla Firefox 126 版本之前存在安全漏洞,该漏洞源于处理 PDF.js 中的字体时缺少类型检查,这将允许在 PDF.js 环境中执行任意 JavaScript。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-4367 的公开POC
# POC 描述 源链接 神龙链接
1 CVE-2024-4367 & CVE-2024-34342 Proof of Concept https://github.com/LOURC0D3/CVE-2024-4367-PoC POC详情
2 CVE-2024-4367 arbitrary js execution in pdf js https://github.com/s4vvysec/CVE-2024-4367-POC POC详情
3 YARA detection rule for CVE-2024-4367 arbitrary javascript execution in PDF.js https://github.com/spaceraccoon/detect-cve-2024-4367 POC详情
4 CVE-2024-4367 mitigation for Odoo 14.0 https://github.com/avalahEE/pdfjs_disable_eval POC详情
5 This project is intended to serve as a proof of concept to demonstrate exploiting the vulnerability in the PDF.js (pdfjs-dist) library reported in CVE-2024-4367 https://github.com/clarkio/pdfjs-vuln-demo POC详情
6 PDF.js是由Mozilla维护的基于JavaScript的PDF查看器。此漏洞允许攻击者在打开恶意 PDF 文件后立即执行任意 JavaScript 代码。这会影响所有 Firefox 用户 (<126),因为 Firefox 使用 PDF.js 来显示 PDF 文件,但也严重影响了许多基于 Web 和 Electron 的应用程序,这些应用程序(间接)使用 PDF.js 进行预览功能。 https://github.com/Zombie-Kaiser/cve-2024-4367-PoC-fixed POC详情
7 This project is intended to serve as a proof of concept to demonstrate exploiting the vulnerability in the PDF.js (pdfjs-dist) library reported in CVE-2024-4367 https://github.com/snyk-labs/pdfjs-vuln-demo POC详情
8 PoC - Prueba de Concepto de CVE-2024-4367 en conjunto al CVE-2023-38831 en un solo Script https://github.com/UnHackerEnCapital/PDFernetRemotelo POC详情
9 CVE-2024-4367复现 https://github.com/Scivous/CVE-2024-4367-npm POC详情
10 None https://github.com/Masamuneee/CVE-2024-4367-Analysis POC详情
11 None https://github.com/pedrochalegre7/CVE-2024-4367-pdf-sample POC详情
12 CVE-2024-4367 is a critical vulnerability (CVSS 9.8) in PDF.js, allowing arbitrary JavaScript code execution due to insufficient type checks on the FontMatrix object within PDF files. https://github.com/exfil0/WEAPONIZING-CVE-2024-4367 POC详情
13 This Proof of Concept (PoC) demonstrates the exploitation of the CVE-2024-4367 vulnerability, which involves Cross-Site Scripting (XSS) attacks. https://github.com/inpentest/CVE-2024-4367-PoC POC详情
14 None https://github.com/elamani-drawing/CVE-2024-4367-POC-PDFJS POC详情
15 None https://github.com/VVeakee/CVE-2024-4367 POC详情
16 PDF host for CVE-2024-4367 https://github.com/BektiHandoyo/cve-pdf-host POC详情
17 None https://github.com/Threekiii/Awesome-POC/blob/master/Web%E5%BA%94%E7%94%A8%E6%BC%8F%E6%B4%9E/PDF.js%20%E4%BB%BB%E6%84%8F%20JavaScript%20%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%20CVE-2024-4367.md POC详情
18 https://github.com/vulhub/vulhub/blob/master/pdfjs/CVE-2024-4367/README.md POC详情
19 CVE-2024-4367 https://github.com/Bhavyakcwestern/Hacking-pdf.js-vulnerability POC详情
三、漏洞 CVE-2024-4367 的情报信息