Компания Foxit Software опубликовала серию обновлений для продуктов PDF Editor и PDF Reader, закрывающих сразу 24 уязвимости. Проблемы затрагивают версии для Windows и macOS, а часть из них позволяет злоумышленнику удалённо выполнить код, повысить привилегии, получить конфиденциальные данные или вызвать отказ в обслуживании. Производитель рекомендует установить исправления в кратчайшие сроки.
Детали уязвимостей
Большинство уязвимостей относится к классу use-after-free (использование памяти после освобождения). Такие ошибки возникают, когда программа продолжает обращаться к объектам, которые уже были удалены из памяти. В продуктах Foxit атака, как правило, инициируется через вредоносный PDF-файл, содержащий встроенный JavaScript. Сценарий может удалить часть документа или изменить его структуру, после чего приложение пытается работать с устаревшими указателями. В случае успешной эксплуатации злоумышленник получает возможность выполнить произвольный код на устройстве жертвы с теми же правами, что и у текущего пользователя. Согласно шкале CVSS, большинство таких уязвимостей получили оценку 7,8 (высокий риск).
Среди закрытых проблем выделяется CVE-2026-57239, связанная с локальным повышением привилегий. Уязвимость возникает из-за того, что процесс с высоким уровнем доступа запускает исполняемые файлы, которыми может управлять рядовой пользователь. Если атакующий способен подменить такой файл, он сможет выполнить код с правами NT AUTHORITY\SYSTEM, то есть получить полный контроль над системой. Оценка CVSS для этой ошибки - 8,2.
Особого внимания заслуживает уязвимость CVE-2026-57259, позволяющая читать произвольные локальные файлы. Она реализует атаку с использованием внешних сущностей XML (XXE). Для эксплуатации не требуется, чтобы входной файл был структурно корректным PDF: достаточно маскировки вредоносного контента под PDF. Специально сформированный документ с помощью XFA-форм указывает парсеру на локальные ресурсы, что даёт возможность прочитать любой файл, доступный пользователю системы. Оценка CVSS - 6,5 (средний уровень), но в сочетании с другими уязвимостями такая утечка может быть использована для кражи учётных данных или конфигураций.
Также исправлены несколько ошибок, приводящих к чтению данных за границами выделенной памяти (out-of-bounds read). Они возникают при обработке трёхмерных объектов формата U3D или PRC, а также при работе с аномальными цветовыми пространствами. Эти проблемы в основном вызывают аварийное завершение программы, однако в ряде случаев могут привести к утечке фрагментов оперативной памяти. Оценки таких уязвимостей - 6,1.
Как сообщается в бюллетене безопасности Foxit, все перечисленные CVE были обнаружены в рамках внутренних проверок и исследований сторонних экспертов. Конкретные детали векторов атак не раскрываются, чтобы дать пользователям возможность обновиться до публикации полных технических описаний. Ссылка на бюллетень опубликована на официальном сайте компании.
Под угрозой находятся все поддерживаемые версии PDF Editor и PDF Reader для Windows и macOS, выпущенные до указанных обновлённых сборок. Для версий 13.x требуется обновление до 13.2.5, для 14.x - до 14.0.5, а для версий 2026 года - до 2026.1.2. Пользователям рекомендуется проверить наличие обновлений через встроенный механизм программы или загрузить их с сайта Foxit. Временных мер защиты, кроме полного отказа от открытия PDF-файлов из ненадёжных источников, производитель не предлагает.
Высокая плотность уязвимостей в одном релизе подтверждает общую тенденцию: инструменты для работы с PDF всё чаще становятся объектом атак, особенно при активном использовании JavaScript-расширений. Разработчикам важно не только оперативно исправлять ошибки, но и усиливать проверки при разборе сложных структур внутри документов. Для корпоративных пользователей Foxit - один из стандартных инструментов, поэтому администраторам следует в первую очередь развернуть патчи на рабочих станциях, где установлены версии 2026.1.1 и старше, а также проверить обновления для macOS-компьютеров.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-13126
- https://www.cve.org/CVERecord?id=CVE-2026-13127
- https://www.cve.org/CVERecord?id=CVE-2026-13128
- https://www.cve.org/CVERecord?id=CVE-2026-13129
- https://www.cve.org/CVERecord?id=CVE-2026-57237
- https://www.cve.org/CVERecord?id=CVE-2026-57238
- https://www.cve.org/CVERecord?id=CVE-2026-57239
- https://www.cve.org/CVERecord?id=CVE-2026-57240
- https://www.cve.org/CVERecord?id=CVE-2026-57241
- https://www.cve.org/CVERecord?id=CVE-2026-57242
- https://www.cve.org/CVERecord?id=CVE-2026-57243
- https://www.cve.org/CVERecord?id=CVE-2026-57244
- https://www.cve.org/CVERecord?id=CVE-2026-57245
- https://www.cve.org/CVERecord?id=CVE-2026-57246
- https://www.cve.org/CVERecord?id=CVE-2026-57247
- https://www.cve.org/CVERecord?id=CVE-2026-57248
- https://www.cve.org/CVERecord?id=CVE-2026-57249
- https://www.cve.org/CVERecord?id=CVE-2026-57250
- https://www.cve.org/CVERecord?id=CVE-2026-57251
- https://www.cve.org/CVERecord?id=CVE-2026-57252
- https://www.cve.org/CVERecord?id=CVE-2026-57253
- https://www.cve.org/CVERecord?id=CVE-2026-57254
- https://www.cve.org/CVERecord?id=CVE-2026-57255
- https://www.cve.org/CVERecord?id=CVE-2026-57256
- https://www.cve.org/CVERecord?id=CVE-2026-57257
- https://www.cve.org/CVERecord?id=CVE-2026-57258
- https://www.cve.org/CVERecord?id=CVE-2026-57259
- https://www.cve.org/CVERecord?id=CVE-2026-57260