Se ha reportado una vulnerabilidad en Nitro PDF Pro, una herramienta empleada para el tratamiento de archivos PDF. La vulnerabilidad es considerada de gravedad alta y podría permitir a un atacante remoto ejecutar código malicioso.
Como ya hemos comentado anteriormente, Nitro Pro es un software de edición y conversión de documentos PDF. Cuenta con soporte para dispositivos OCR y una cantidad enorme de opciones de configuración y de seguridad. Permite editar cualquier tipo de documento, incluidas imágenes, párrafos y páginas.
El problema reportado sería causado por diferentes vulnerabilidades, una de ellas, la función ‘Doc.saveAs’ podría ser usada para sobreescribir ficheros dentro del sistema, y la otra podría ser usada para saltar restricciones de seguridad en 'App.launchURL' al introducir determinados caracteres dentro de la ruta de direcciones.
El problema, con CVE-2017-7442, podría permitir a un atacante remoto valerse de las vulnerabilidades explicadas anteriormente para ejecutar código arbitrario dentro del sistema a través de ficheros especialmente manipulados, visitar páginas web maliciosas y dependiendo de la vulnerabilidad, introduciendo caracteres especiales.
Este problema afecta a Nitro PDF Reader & Nitro Reader Pro.
Se recomienda actualizar a versiones superiores.
Más información:
Prueba de concepto:
Juan Sánchez
