به گفتهی محققان امنیتی سیسکو، دو آسیبپذیری اخیرا وصلهشده در نرمافزار Nitro Pro، میتواند توسط مهاجمان برای اجرای کد از راه دور بر روی میزبانهای آسیبدیده، مورد بهرهبرداری قرار بگیرد. Nitro Pro، نرمافزاری است که برای خواندن، ویرایش، امضا و ذخیرهی فایلهای PDF طراحی شده است. ادعا میشود این نرمافزار به بیش از ۱۰هزار سازمان در تقویت بهرهوری آنها کمک میکند.
محققان امنیتی در مجموع سه آسیبپذیری را در این برنامه شناسایی کردهاند که دو مورد از آنها، برای اجرای کد از راه دور قابل بهرهبرداری بوده و در سیستم CVSS، امتیاز ۸٫۸ را دریافت کردهاند.
اولین آسیبپذیری که با شناسهی CVE-2020-6074 ردیابی میشود، در تجزیهکنندهی PDF نرمافزار Nitro Pro شناسایی شده است. مهاجمی که بهدنبال بهرهبرداری از این اشکال است، باید یک فایل PDF دستکاریشده را به قربانی ارائه داده و به این ترتیب، بتواند به شرایط استفاده پس از آزادسازی و اجرای کد دست یابد.
اشکال امنیتی دوم که با شناسهی CVE-2020-6092 ردیابی میشود، در روش تجزیهی الگوها توسط Nitro Pro وجود دارد. بهمنظور بهرهبرداری از این آسیبپذیری، مهاجم باید یک فایل PDF را ایجاد و قربانی را برای بازکردن آن ترغیب کند. به این ترتیب، میتواند شرایط سرریز عدد صحیح و اجرای کد از راه دور را راهاندازی کند.
محققان امنیتی، یک آسیبپذیری افشای اطلاعات را نیز در Nitro Pro شناسایی کردهاند. این آسیبپذیری که با شناسهی CVE-2020-6093 ردیابی شده و در سیستم CVSS، امتیاز ۶٫۵ را دریافت کرده است، مربوط به نحوهی عملکرد Nitro Pro در پردازش خطای XML است. بهمنظور بهرهبرداری از این نقص، مهاجم باید یک فایل PDF دستکاریشده را به قربانی تحویل داده و او را برای بازکردن این فایل ترغیب کند. این اشکال میتواند منجر به دسترسی به حافظه و در نتیجه، افشای اطلاعات شود.
هر سه این آسیبپذیریها در نسخهی ۱۳٫۹٫۱٫۱۵۵ نرمافزار Nitro Pro شناسایی شده و در ماه فوریه به فروشنده گزارش شدهاند. در اوایل ماه مه، یک بهروزرسانی امنیتی برای وصلهکردن این آسیبپذیریها منتشر شد و به کاربران توصیه میشود که برای محافظت از خود، آن را نصب کنند.
