漏洞关键信息 基本信息 标题: (0Day) pdfforge PDF Architect CBZ File Parsing Directory Traversal Remote Code Execution Vulnerability ID: - ZDI-25-1077 - ZDI-CAN-27514 CVE ID: CVE-2025-14420 CVSS 评分: 7.8, AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 受影响的厂商: pdfforge 受影响的产品: PDF Architect 漏洞细节 描述: 该漏洞允许远程攻击者在受影响的 pdfforge PDF Architect 安装上执行任意代码。用户交互是必需的,目标必须访问恶意页面或打开恶意文件以利用此漏洞。 具体问题: 在解析 CBZ 文件时存在特定的缺陷。问题是由于在文件操作之前未对用户提供的路径进行适当的验证。攻击者可以利用此漏洞以当前用户的上下文执行代码。 缓解措施: 由于漏洞的性质,唯一的有效缓解策略是限制与产品的交互。 详细信息 报告时间: 2025-08-12 - ZDI 向厂商报告了该漏洞 更新时间: - 2025-09-24 - ZDI 要求更新 - 2025-11-10 - ZDI 要求更新 - 2025-12-05 - ZDI 通知厂商将于 2025 年 12 月 11 日作为 0-day 咨询发布该案例 披露时间线 报告时间: 2025-08-12 - 漏洞报告给厂商 公开发布: 2025-12-11 - 咨询的协调公开发布 更新: 2025-12-11 - 咨询更新 致谢 kimiya