PDF编辑器Able2Extract两个远程代码实行漏洞安全通告
发布时间 2019-11-06漏洞编号和级别
CVE编号:CVE-2019-5088,危险级别:高危,CVSS分值:8.8
CVE编号:CVE-2019-5089,危险级别:高危,CVSS分值:8.8
影响版本
Investintech Able2Extract Professional 14.0.7 x64
漏洞概述
Investintech Able2Extract Professional是加拿大Investintech企业的一款PDF文档转换器和编辑器。该产品支撑PDF文档扫描、PDF编辑和PDF查看等,适用于Windows、Mac和Linux等平台。其专业版在135个国家/地区拥有超过25万名用户。
思科Talos研究人员发现Investintech的Able2Extract Professional工具存在两个内存损坏漏洞:CVE-2019-5088和CVE-2019-5089,攻击者可借助特制的BMP文件或者JPEG文件利用漏洞在用户系统上实行任意代码。
漏洞验证
暂无POC/EXP。
修复建议
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:https://www.investintech.com。
参考链接
https://blog.talosintelligence.com/2019/11/vuln-spotlight-RCE-investintech-able2extract-nov-2019.html
京公网安备11010802024551号