В сфере корпоративной автоматизации документооборота обнаружена новая критическая уязвимость, затрагивающая популярное программное обеспечение для обработки PDF-файлов. Эксперты по информационной безопасности предупреждают об угрозе, связанной с компонентом Foxit PDF Services API, который позволяет приложениям конвертировать, объединять и защищать документы. Проблема, получившая идентификатор CVE-2026-5936, классифицируется как подделка запросов на стороне сервера, или SSRF (Server-Side Request Forgery). Данный тип уязвимости позволяет злоумышленнику, имеющему доступ к уязвимому интерфейсу, манипулировать внутренними запросами сервера и использовать его в качестве прокси для атаки на внутреннюю сеть организации.
Уязвимость CVE-2026-5936
Под угрозой оказались все версии Foxit PDF Services API, выпущенные до 7 апреля 2026 года. Для эксплуатации уязвимости атакующему требуется лишь иметь учетную запись с правами доступа к API, что делает угрозу актуальной для тысяч компаний, использующих этот продукт для встраивания функций работы с PDF в свои бизнес-процессы, порталы и веб-приложения. Важно подчеркнуть, что для успешной атаки не требуется никаких действий со стороны рядового пользователя - весь вредоносный сценарий выполняется на уровне взаимодействия между клиентским приложением и серверным API.
Механизм работы SSRF-уязвимости в данном случае заключается в недостаточной валидации URL-адресов, которые принимает API. В нормальном режиме работы сервис получает от клиента запрос, например, на конвертацию документа, расположенного по определенному внешнему адресу. Однако, из-за наличия уязвимости, злоумышленник может подменить этот адрес, указав вместо публичного ресурса внутренний IP-адрес или доменное имя, недоступное извне. В результате сервер Foxit PDF Services API, обладающий правами доступа во внутреннюю сеть, по неосторожности выполнит запрос к указанной цели.
Это открывает перед атакующим широкий спектр возможностей для разведки и эскалации привилегий. В первую очередь, он может проводить сканирование внутренней сети, выявляя активные хосты, открытые порты и уязвимые службы, которые были скрыты за межсетевыми экранами. Кроме того, частой целью при SSRF-атаках становятся сервисы метаданных в облачных средах, такие как AWS IMDS или Azure Instance Metadata Service. Получив доступ к этим службам через доверенный сервер, злоумышленник может похитить критически важные данные: ключи доступа, учетные данные, конфигурационную информацию, что в свою очередь часто приводит к полному компрометированию облачной инфраструктуры компании.
Присвоенный уязвимости балл CVSS 3.1 - 8.5 (высокий уровень опасности) - отражает серьезность потенциального ущерба. Вектор атаки "сеть" (AV:N) указывает на возможность эксплуатации через интернет, а низкая сложность атаки (AC:L) означает, что для ее проведения не требуется глубоких специальных знаний. Наиболее тревожным параметром является высокий потенциал воздействия на конфиденциальность (C:H) и возможность затронуть другие компоненты системы (S:C), то есть использовать скомпрометированный сервер как плацдарм для атак на смежные активы.
На практике эксплуатация CVE-2026-5936 может привести к ряду негативных последствий для бизнеса. Помимо прямой утечки конфиденциальных документов, обрабатываемых через API, компания рискует столкнуться с кражей учетных данных для других корпоративных систем. Если атакующий через SSRF получит доступ к системе управления базами данных или внутреннему порталу управления, это может парализовать ключевые бизнес-процессы, связанные с документооборотом, и привести к значительным финансовым и репутационным потерям. Для государственных организаций, активно использующих подобные технологии, риски дополняются угрозой утечки служебной информации.
Разработчик, компания Foxit Software Inc., уже выпустила исправление безопасности. Главная и единственная эффективная мера защиты - немедленное обновление Foxit PDF Services API до версии, выпущенной 7 апреля 2026 года или позднее. Администраторам, отвечающим за инфраструктуру, также рекомендуется провести аудит журналов сетевой активности серверов, на которых развернут уязвимый компонент, на предмет подозрительных исходящих HTTP-запросов к внутренним или нестандартным адресам. В качестве дополнительной меры предосторожности стоит пересмотреть сетевые правила (ACL) для серверов, обрабатывающих PDF, ограничив их исходящие соединения только строго необходимым набором доверенных внешних ресурсов и заблокировав доступ к критическим внутренним сегментам сети и облачным метасервисам. Обнаружение данной уязвимости в очередной раз подчеркивает важность регулярного обновления всех программных компонентов, особенно тех, которые выполняют обработку данных, поступающих из ненадежных источников, и имеют доступ к внутренним сетевым ресурсам.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-5936
- https://www.foxitsoftware.com/support/security-bulletins.php
