漏洞关键信息 漏洞详情 漏洞标题: Kofax Power PDF PNG File Parsing Out-Of-Bounds Read Information Disclosure Vulnerability 漏洞编号: ZDI-24-218, ZDI-CAN-22022 CVE编号: CVE-2024-27336 CVSS评分: 3.3, AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N 受影响厂商: Kofax 受影响产品: Power PDF 漏洞描述 此漏洞允许远程攻击者在受影响的 Kofax Power PDF 安装上泄露敏感信息。要利用此漏洞,需要用户交互,即目标必须访问恶意页面或打开恶意文件。 具体漏洞:在解析 PNG 文件时存在漏洞。问题源于用户提供的数据缺乏适当的验证,导致读出范围之外的分配对象。攻击者可以结合其他漏洞,在当前上下文中执行任意代码。 其他细节 docshield.kofax.com/PowerPDF/en_US/5.0.0-3uoz7ssq2b/print/ReadMe-KofaxPowerPDFAdvanced-5.0.0.17.htm 披露时间表 2023-08-24: 漏洞报告给厂商 2024-03-01: 协调公共发布咨询 2024-07-01: 咨询更新 致谢 Mat Powell of Trend Micro Zero Day Initiative