viernes, 4 de agosto de 2017

Vulnerabilidad grave en Nitro PDF Pro

Se ha reportado una vulnerabilidad en Nitro PDF Pro, una herramienta empleada para el tratamiento de archivos PDF. La vulnerabilidad es considerada de gravedad alta y podría permitir a un atacante remoto ejecutar código malicioso.

Como ya hemos comentado anteriormente, Nitro Pro es un software de edición y conversión de documentos PDF. Cuenta con soporte para dispositivos OCR y una cantidad enorme de opciones de configuración y de seguridad. Permite editar cualquier tipo de documento, incluidas imágenes, párrafos y páginas.

El problema reportado sería causado por diferentes vulnerabilidades, una de ellas, la función ‘Doc.saveAs’ podría ser usada para sobreescribir ficheros dentro del sistema, y la otra podría ser usada para saltar restricciones de seguridad en 'App.launchURL' al introducir determinados caracteres dentro de la ruta de direcciones.

El problema, con CVE-2017-7442, podría permitir a un atacante remoto valerse de las vulnerabilidades explicadas anteriormente para ejecutar código arbitrario dentro del sistema a través de ficheros especialmente manipulados, visitar páginas web maliciosas y dependiendo de la vulnerabilidad, introduciendo caracteres especiales.

Este problema afecta a Nitro PDF Reader & Nitro Reader Pro.
Se recomienda actualizar a versiones superiores.

Más información:

Prueba de concepto:



Juan Sánchez