0x01 产品简介

      Foxit PDF Reader是一套用来阅读PDF格式文件的软件，由福建福昕软件所研发，主要运行在Windows操作系统上。

0x02 漏洞概述

       Foxit PDF Reader及Editor中存在任意代码执行漏洞，由于Foxit PDF Reader/Editor未验证exportXFAData方法中的cPath参数，使得恶意的.hta文件写入Startup目录中，攻击者可通过诱导受害者打开特制的PDF文档触发此漏洞，系统重启后将执行攻击者的恶意代码。

0x03 影响范围

Foxit PDF Reader <= 12.1.1.15289
Foxit PDF Editor 12.x <= 12.1.1.15289
Foxit PDF Editor 11.x <= 11.2.5.53785
Foxit PDF Editor <= 10.1.11.37866

0x04 复现环境

win10安装Foxit PDF Editor 12.0,226.13109  漏洞版本

下载地址：https://www.onlinedown.net/soft/51002.htm

双击安装 即可

 

0x05 漏洞复现 

POC地址：SecBugs/CVEs/CVE-2023-27363 at main · j00sean/SecBugs · GitHub 

下载特制的PDF文件，直接使用福昕PDF编辑器打开

此时你的开机启动文件夹会生成一个evil.hta的恶意文件，重启电脑会执行恶意代码，造成RCE （打开记事本和计算器）

win+R 输入shell:startup 查看是否生成恶意文件

注：这个恶意文件是写入了开机启动项，重启电脑就会自动触发RCE（这里我就不重启了，直接打开恶意文件）

复现成功

0x06 修复建议

   目前官方已发布可更新版本，受影响用户可通过以下任一步骤进行更新：

1、在Foxit PDF阅读器或Foxit PDF编辑器中，点击“帮助”>“关于Foxit PDF阅读器”或“关于Foxit PDF编辑器”>“检查更新”(对于10版本或更早的版本，点击“帮助”>“检查更新”)以更新到最新版本。

2、手动下载更新：https://www.foxit.com/downloads/