文章总结： 本文分析了CVE-2024-4367PDF.js任意JavaScript代码执行漏洞。作者引用相关研究和POC，指出需上传特制PDF经PDF.js加载方可触发，如弹窗或窃取Cookie。结论认为该漏洞利用条件苛刻且危害有限，虽比常规PDFXSS稍强，但整体影响不大。 综合评分： 45 文章分类： 漏洞分析,漏洞POC,WEB安全

PDF.js JavaScript 代码执行

9v9

None安全团队

2024年5月23日 14:51 山东

起因

前段时间在项目中遇到了PDF.js，但是没有比较好的利用方式。

最近在社交平台看到好多人在发这个漏洞，于是看了一下

参考文章：https://codeanlabs.com/blog/research/cve-2024-4367-arbitrary-js-execution-in-pdf-js/

中文：https://mp.weixin.qq.com/s/wI61BVkEBMRw6A1pNNmKFA

poc ：https://github.com/s4vvysec/CVE-2024-4367-POC

poc可以进行修改 证明危害 直接文本编辑 把弹框的内容改掉

需要把pdf上传到平台 通过pdfjs进行加载浏览能弹cookie。危害有限

比pdf xss强点 但不多

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：None安全团队 9v9《PDF.js JavaScript 代码执行》