PDF-XChange Editor远程代码执行漏洞CVE-2024-7352

PDF-XChange Editor涵盖各种PDF编辑功能，包括文本、注释、标记等，软件支持导出文档为多种格式，可满足用户对转换的各种需求。

PDF-XChange Editor是一个高功能的PDF浏览和编辑软件，有免费版本和高级版本，60%功能可在免费版中使用，其余功能需付费使用。

PDF-XChange Editor的用户界面可根据用户需要定制，基于色带的用户界面为用户提供大量的自定义选项，并根据他们的需要安排工具。

一、基本情况

Tracker PDF-XChange Editor作为最小、较快、功能丰富PDF编辑器和查看器，可创建、查看、编辑、注释、OCR和数字签名PDF文件。

PDF-XChange Editor配备一个增强的OCR插件，在检测可编辑文本，然后放置另一个不可见的文本层时，它比默认的OCR插件要好得多。

PDF-XChange Editor提供对基于DOS的Billion Laugh攻击病毒免疫力，用户可从云存储（OneDrive和Box）访问文件，便于查看和编辑。

PDF-XChange Editor允许用户用128位安全保护文件以避免任何侵犯，使用户可通过添加水印、背景图像、甚至条形码来专业地增强文件。

栋科技漏洞库关注到 PDF-XChange Editor中的PDF文件解析越界写入远程代码执行漏洞，漏洞追踪为CVE-2024-7352，CVSS评分为7.8。

二、漏洞分析

CVE-2024-7352是PDF-XChange Editor中存在的PDF文件解析越界写入远程代码执行漏洞，这个特定漏洞存在于PDF文件的解析过程中。

该漏洞允许远程攻击者在安装了受影响PDF-XChange Editor系统执行任意代码，利用该漏洞需用户与恶意页面进行交互或打开恶意文件。

该漏洞源于对用户提供的数据缺乏适当的验证，这可能导致写入超出已分配对象的末尾，利用该漏洞可以在当前进程的上下文中执行代码。

三、漏洞影响

PDF-XChange Editor <= 10.2.1.385

四、修复建议

PDF-XChange Editor > 10.2.1.385

五、参考链接

https://pdf-xchange.eu/pdf-xchange-editor/