Mozilla pdfjs-dist安全漏洞(CVE-2024-4367)

[foyaga]

• 漏洞编号: CVE-2024-4367
• 危害等级: 高危
• 漏洞标签: 在野利用 POC公开 关键漏洞
• 披露日期: 2024-05-07
• 信息来源: https://ti.qianxin.com/vulnerability/detail/350340
• 推送原因: 漏洞创建

漏洞描述：

###影响
如果使用pdf.js加载恶意PDF，并且PDF.js配置为'isEvalSupported'设置为'true'(这是默认值)，则不受限制的攻击者控制的JavaScript将在托管域的上下文中执行。

###补丁
该补丁删除了“eval”的使用：
mozilla/pdf.js#18015

###变通办法
将选项'isEvalSupported'设置为'false'。

##参考
https://bugzilla.mozilla.org/show\_bug.cgi?id\=1893645

参考链接：