PDF编辑器Able2Extract两个远程代码实行漏洞安全通告

发布时间 2019-11-06

漏洞编号和级别


CVE编号:CVE-2019-5088,危险级别:高危,CVSS分值:8.8

CVE编号:CVE-2019-5089,危险级别:高危,CVSS分值:8.8


影响版本


Investintech Able2Extract Professional 14.0.7 x64


漏洞概述


Investintech Able2Extract Professional是加拿大Investintech企业的一款PDF文档转换器和编辑器。该产品支撑PDF文档扫描、PDF编辑和PDF查看等,适用于Windows、Mac和Linux等平台。其专业版在135个国家/地区拥有超过25万名用户。


思科Talos研究人员发现Investintech的Able2Extract Professional工具存在两个内存损坏漏洞:CVE-2019-5088和CVE-2019-5089,攻击者可借助特制的BMP文件或者JPEG文件利用漏洞在用户系统上实行任意代码。


漏洞验证


暂无POC/EXP。


修复建议


目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:https://www.investintech.com。


参考链接


https://blog.talosintelligence.com/2019/11/vuln-spotlight-RCE-investintech-able2extract-nov-2019.html