Mozilla pdfjs-dist安全漏洞(CVE-2024-4367)


+ 漏洞编号: **CVE-2024-4367**   
+ 危害等级: **高危**
+ 漏洞标签: **在野利用 POC公开 关键漏洞**
+ 披露日期: **2024-05-07**
+ 信息来源: **https://ti.qianxin.com/vulnerability/detail/350340**
+ 推送原因: **漏洞创建**
#### 漏洞描述：
\#\#\#影响
如果使用pdf.js加载恶意PDF，并且PDF.js配置为'isEvalSupported'设置为'true'\(这是默认值\)，则不受限制的攻击者控制的JavaScript将在托管域的上下文中执行。

\#\#\#补丁
该补丁删除了“eval”的使用：
https://github.com/mozilla/pdf.js/pull/18015

\#\#\#变通办法
将选项'isEvalSupported'设置为'false'。

\#\#参考
https://bugzilla.mozilla.org/show\_bug.cgi?id\=1893645
#### 参考链接：


Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Uh oh!

Mozilla pdfjs-dist安全漏洞(CVE-2024-4367) #239

漏洞描述：

参考链接：

Metadata

Assignees

Labels

Projects

Milestone

Relationships

Development

Mozilla pdfjs-dist安全漏洞(CVE-2024-4367) #239

Description

漏洞描述：

参考链接：

Metadata

Metadata

Assignees

Labels

Projects

Milestone

Relationships

Development

Issue actions