کمیته رکن چهارم – دو آسیبپذیری در PDF.js شناسایی شدهاند که با باز کردن فایل PDF، امکان اجرای کد را برای مهاجم فراهم میکند.
دو آسیبپذیری با شناسههای CVE-2024-34342 و CVE-2024-4367 و شدت بالا در PDF.js کشف شده است که با باز کردن یک فایل PDF، امکان اجرای کد را برای مهاجم فراهم میکند. این آسیبپذیری چندین برنامه و مرورگر را که از React-PDF استفاده میکنند نیز تحت تاثیر قرار میدهد. با توجه به استفاده میلیونها کاربر از فایلهای PDF، این آسیبپذیری میتواند میلیونها کاربر را تحت تاثیر قرار دهد.
PDF.js به مرورگرها اجازه میدهد که فایلهای PDF را بدون استفاده از افزونه یا نرمافزار خارجی برای کاربر نمایش دهند. این کتابخانه در نسخههای ۱۹ و بالاتر مرورگر فایرفاکس به کار رفته است و در حقیقت توسط مرورگرهای زیادی ازجمله Mozilla Firefox، Safari، Google Chrome و Edge استفاده میشود.
این آسیبپذیری در نسخههای ۸٫۰٫۱ یا پایینتر و ۸٫۰٫۰ و بالاتر کتابخانه npm/react-pdf وجود دارد که در نسخه ۸٫۰٫۲ برطرف شده است. همچنبن در نسخههای قبلاز از ۷٫۷٫۳ کتابخانه npm/react-pdf وجود دارد که در نسخه ۷٫۷٫۳ برطرف شده است. در نسخه ۴٫۱٫۳۹۲ و قبلتر کتابخانه pdfjs-dist – npm نیز وجود دارد که در نسخه ۴٫۲٫۶۷ برطرف شده است.
بنابراین توصیه میشود کاربران، مرورگر خود را به آخرین نسخه بهروزرسانی کنند تا تحت تاثیر حملات احتمالی قرار نگیرند. کاربرانی که از برنامههای وابسته به React PDF استفاده میکنند نیز باید نسبت به نصب بهروزرسانیهای امنیتی برنامه خود اقدام کنند.
منبع: افتانا
