Falhas zero-day afetam plataformas PDF

Um conjunto de 16 vulnerabilidades zero-day foi identificado nas plataformas Apryse WebViewer (anteriormente PDFTron) e Foxit PDF SDK for Web, que permite afetar serviços cloud e implementações empresariais utilizadas por milhões de utilizadores.

A investigação foi conduzida pela Novee Security, que combinou análise humana com agentes baseados em Inteligência Artificial (IA) para mapear sistematicamente a superfície de ataque destas plataformas. Segundo os investigadores, ambas as empresas foram notificadas no âmbito de responsible disclosure e disponibilizaram correções ou mitigações antes da divulgação pública.

Execução remota de código e falhas críticas

A vulnerabilidade mais grave identificada é uma falha de OS Command Injection no servidor de assinatura Node.js do Foxit PDF SDK for Web. O problema permite execução remota de código através da manipulação de um parâmetro enviado num pedido POST, explorando validação insuficiente na construção de comandos do sistema.

A exploração bem-sucedida permite a execução arbitrária de comandos no servidor, sem necessidade de autenticação.

Foi ainda identificada uma vulnerabilidade Server-Side Request Forgery (SSRF) no componente de renderização iFrame do Apryse WebViewer, que pode ser explorada para forçar o servidor a aceder e processar conteúdos controlados pelo atacante, potencialmente expondo recursos internos.

Outra falha crítica decorre da gestão inadequada do parâmetro uiConfig no Apryse WebViewer. O valor é obtido remotamente, processado como JSON e aplicado à interface, permitindo injeção de código através de vetores DOM-based XSS.

Os investigadores demonstraram que determinadas técnicas permitem contornar mecanismos de mitigação baseados em DOMParser, explorando elementos SVG e foreignObject para executar código JavaScript no contexto da aplicação.

XSS, Path Traversal e validação insuficiente

Entre as falhas identificadas encontra-se também uma vulnerabilidade Stored DOM XSS associada ao campo de autor em anotações PDF, que pode levar à execução persistente de código sempre que o documento é reprocessado pela aplicação.

Na infraestrutura Foxit, foi identificada uma vulnerabilidade Path Traversal no módulo de colaboração, permitindo listagem não autenticada de diretórios através da manipulação de parâmetros em pedidos HTTP.

Adicionalmente, foi detetada uma falha de validação no mecanismo postMessage de um componente incorporado, que confia num campo JSON controlado pelo utilizador em vez de validar a origem do evento no browser, permitindo injeção remota de scripts no domínio confiável.

O relatório inclui ainda dez vulnerabilidades adicionais de Stored XSS em diferentes funcionalidades da plataforma Foxit, incluindo módulos de portfólio, templates, importação de camadas e certificados digitais.

Superfície de ataque alargada

A arquitetura do Apryse WebViewer, composta por uma interface baseada em React, um motor de processamento JavaScript/WebAssembly e componentes server-side para conversão HTML-to-PDF, cria múltiplos limites de confiança. A ausência de validação consistente na passagem de dados entre estes níveis esteve na origem de várias das falhas identificadas.

Segundo a Novee Security, a utilização combinada de análise manual e agentes especializados permitiu mapear ligações entre fontes e sinks vulneráveis em larga escala, acelerando a descoberta sistemática de zero-days.

Organizações que utilizam Apryse WebViewer ou Foxit PDF SDK for Web devem aplicar imediatamente as atualizações disponibilizadas pelos fornecedores. É recomendada, por sua vez, a revisão das implementações server-side, reforço das políticas de Content-Security-Policy, validação rigorosa de origens em mecanismos postMessage e auditoria de componentes expostos à internet.