NitroPDF多个远程代码执行漏洞安全通告
发布时间 2019-10-11漏洞编号和级别
CVE编号:CVE-2019-5045,危险级别:高危,CVSS分值:厂商自评:8.8,官方未评定
CVE编号:CVE-2019-5050,危险级别:高危,CVSS分值:厂商自评:8.8,官方未评定
CVE编号:CVE-2019-5048,危险级别:高危,CVSS分值:厂商自评:8.8,官方未评定
CVE编号:CVE-2019-5047,危险级别:高危,CVSS分值:厂商自评:7.5,官方未评定
CVE编号:CVE-2019-5046,危险级别:高危,CVSS分值:厂商自评:8.8,官方未评定
CVE编号:CVE-2019-5053,危险级别:高危,CVSS分值:厂商自评:7.5,官方未评定
影响版本
Nitro Software NitroPDF 12.12.1.522版本
漏洞概述
Nitro Software NitroPDF是美国Nitro Software公司的一款用于查看和编辑PDF文件的软件。
思科Talos披露NitroPDF中的多个远程代码执行漏洞。Nitro PDF允许用户在其计算机上保存、阅读和编辑PDF文件,该产品分为免费版和收费版。此次发现的漏洞都存在于收费的Pro版中。漏洞包括:
jpeg2000 ssizDepth远程代码执行漏洞(CVE-2019-5045)
攻击者可借助恶意的文件利用该漏洞执行任意代码。
Page Kids远程代码执行漏洞(CVE-2019-5050)
攻击者可借助特制的PDF文件利用该漏洞执行任意代码。
ICCBased色彩空间远程代码执行漏洞(CVE-2019-5048)
攻击者可借助特制的PDF文件利用该漏洞执行任意代码。
CharProcs远程代码执行漏洞(CVE-2019-5047)
Nitro Software NitroPDF中的CharProcs解析功能存在资源管理错误漏洞。该漏洞源于网络系统或产品对系统资源(如内存、磁盘空间、文件等)的管理不当。
jpeg2000 yTsiz远程代码执行漏洞(CVE-2019-5046)
攻击者可借助恶意的文件利用该漏洞执行任意代码。
流长度解析功能内存损坏漏洞(CVE-2019-5053)
Nitro Software NitroPDF中的长度解析函数存在资源管理错误漏洞。该漏洞源于网络系统或产品对系统资源(如内存、磁盘空间、文件等)的管理不当。
漏洞验证
暂无POC/EXP。
修复建议
目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:https://www.gonitro.com。
参考链接
https://blog.talosintelligence.com/2019/10/vuln-spotlight-Nitro-PDF-RCE-bugs-sept-19.html
京公网安备11010802024551号