- شناسه CVE-2025-55308 :CVE
- CWE-416 :CWE
- yes :Advisory
- منتشر شده: دسامبر 11, 2025
- به روز شده: دسامبر 11, 2025
- امتیاز: 6.7
- نوع حمله: Use after free
- اثر گذاری: Memory Corruption & Information Disclosure
- حوزه: نرم افزارهای کاربردی
- برند: Foxit
- محصول: Foxit PDF Editor
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری استفاده پس از آزادسازی (Use-After-Free) در پردازش جاوااسکریپت جاسازیشده در فایلهای PDF در Foxit PDF Editor و Foxit PDF Reader برای ویندوز شناسایی شده است. در این آسیبپذیری، مهاجم لوکال با سطح دسترسی پایین میتواند با ترغیب کاربر به باز کردن یک فایل PDF مخرب حاوی جاوااسکریپت خاص که از تابع closeDoc() سوءاستفاده میکند، باعث آزادسازی زودهنگام آبجکتهای داخلی برنامه شود. این وضعیت میتواند منجر به خرابی حافظه و افشای اطلاعات حساس گردد.
توضیحات
آسیبپذیری CVE-2025-55308 ناشی از ضعف استفاده پس از آزادسازی حافظه (Use-After-Free) مطابق با CWE-416 در محصولات Foxit PDF Editor و Foxit PDF Reader برای ویندوز است. این ضعف در هنگام پردازش جاوااسکریپت های جاسازیشده در فایلهای PDF رخ میدهد؛ بهطوریکه یک فایل PDF مخرب میتواند با فراخوانی تابع closeDoc() در شرایطی که برخی آبجکتهای داخلی برنامه همچنان در حال استفاده هستند، موجب آزادسازی زودهنگام این آبجکتها شود. دسترسی مجدد برنامه به این حافظه آزادشده، وضعیت استفاده پس از آزادسازی حافظه ایجاد کرده و منجر به خرابی حافظه (Memory Corruption) میگردد.
در سناریوی بهرهبرداری، مهاجم لوکال با سطح دسترسی پایین میتواند با ترغیب کاربر به باز کردن یک فایل PDF مخرب، کد جاوااسکریپت تعبیهشده را اجرا کند. در نتیجه، امکان سوءاستفاده از اشارهگرهای آزادشده برای خواندن دادههای حافظه یا دستکاری وضعیت داخلی برنامه فراهم میشود. این شرایط میتواند منجر به افشای اطلاعات حساس، تغییر دادهها، اختلال شدید در عملکرد برنامه یا توقف آن گردد. در برخی شرایط خاص و وابسته به محیط اجرا، خرابی کنترلشده حافظه ممکن است زمینهساز پیامدهای امنیتی شدیدتری نیز باشد. بهرهبرداری از این آسیبپذیری نیازمند تعامل کاربر بوده و حمله بهصورت لوکال انجام میشود؛ به این معنا که کاربر باید فایل PDF مخرب را با یکی از محصولات Foxit باز کند. این ضعف تنها در محیط ویندوز و در حالتی که اجرای جاوااسکریپت در فایلهای PDF فعال باشد قابل سوءاستفاده است. Foxit این آسیبپذیری را با انتشار نسخههای بهروزرسانیشده امنیتی پچ کرده است و استفاده از نسخههای امن، ریسک بهرهبرداری از این آسیبپذیری را بهطور کامل رفع میکند.
CVSS
| Score | Severity | Version | Vector String |
| 6.7 | MEDIUM | 3.1 | CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H |
لیست محصولات آسیب پذیر
| Versions | Platforms | Product |
| 2025.2.0.33046 and earlier | Windows | Foxit PDF Reader (previously named Foxit Reader) |
| 2025.2.0.33046 and all previous 2025.x versions, 2024.4.1.27687 and all previous 2024.x versions, 2023.3.0.23028 and all previous 2023.x versions, 14.0.0.33046, 13.2.0.23874 and earlier | Windows | Foxit PDF Editor (previously named Foxit PhantomPDF) |
لیست محصولات بروز شده
| Versions | Platforms | Product |
| 2025.2.1 | Windows | Foxit PDF Reader (previously named Foxit Reader) |
| 2025.2.1/14.0.1/13.2.1 | Windows | Foxit PDF Editor (previously named Foxit PhantomPDF) |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که Foxit را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 77,700 | site:.ir “Foxit” | Foxit |
نتیجه گیری
آسیبپذیری استفاده پس از آزادسازی با شدت متوسط در Foxit PDF Editor و Foxit PDF Reader، امکان افشای اطلاعات و خرابی حافظه از طریق اجرای جاوااسکریپت مخرب در فایلهای PDF را فراهم میکند. این ضعف تنها در سناریوهای لوکال و هنگام باز شدن PDF توسط کاربر فعال میشود. با توجه به انتشار پچهای امنیتی، اجرای اقدامات زیر برای جلوگیری از بهرهبرداری و کاهش سطح ریسک ضروری است:
- بهروزرسانی فوری: تمام نصبهای Foxit PDF Editor و Foxit PDF Reader را به نسخه 2025.2 یا بالاتر بهروزرسانی کنید. این اقدام، مؤثرترین و قطعیترین راهکار برای رفع آسیبپذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و میتوانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
- غیرفعالسازی جاوااسکریپت در PDF: اگر نیازی به اجرای جاوااسکریپت ندارید، آن را در تنظیمات Foxit غیرفعال کنید تا ریسک اجرای اسکریپتهای مخرب کاهش یابد.
- محدودسازی دسترسی: حسابهای کاربری را با حداقل سطح دسترسی مدیریت کنید و از باز کردن PDFهای ناشناخته با حساب Administrator اجتناب نمایید.
- نظارت و اسکن: PDFهای ورودی را با آنتیویروس بهروز یا ابزارهای اسکن آنلاین (مانند VirusTotal) بررسی کرده و لاگهای Foxit را برای شناسایی فعالیتهای مشکوک مانیتور کنید.
- ایزولهسازی: PDFهای مشکوک را در محیطهای ایزوله مانند Windows Sandbox یا ماشین مجازی باز کنید تا تأثیر احتمالی محدود شود.
- استفاده از ابزارهای محافظتی سازمانی: در محیطهای سازمانی، از ابزارهای Endpoint Security و EDR مانند Microsoft Defender for Endpoint برای شناسایی عملکردهای مشکوک هنگام پردازش PDF استفاده کنید.
اجرای این اقدامات، به ویژه بهروزرسانی سریع و غیرفعالسازی جاوااسکریپت، ریسک بهرهبرداری از این آسیبپذیری را بهطور چشمگیری کاهش داده و امنیت پردازش فایلهای PDF در Foxit را بهطور قابل توجهی افزایش میدهد.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
دسترسی اولیه از طریق مهندسی اجتماعی و ترغیب کاربر به باز کردن یک فایل PDF مخرب انجام میشود. فایل PDF بهعنوان بردار اولیه حمله عمل میکند و هیچ نفوذ مستقیمی به سیستم بدون تعامل کاربر رخ نمیدهد.
Defense Evasion (TA0005)
کد جاوااسکریپت داخل PDF میتواند با Obfuscation از شناسایی توسط ابزارهای امنیتی عبور کند و بهصورت قانونی در چارچوب پردازش PDF اجرا شود.
Discovery (TA0007)
در صورت موفقیت بهرهبرداری، مهاجم میتواند از طریق دسترسی به حافظه آزادشده، دادههای حساس پردازششده در حافظه برنامه (مانند محتوای اسناد یا اطلاعات کاربر) را استخراج کند.
Collection (TA0009)
هدف اصلی این آسیبپذیری جمعآوری اطلاعات از حافظه است؛ دادههایی که در حالت عادی نباید در دسترس مهاجم باشند.
Impact (TA0040)
پیامد نهایی شامل افشای اطلاعات حساس، خرابی حافظه، اختلال در عملکرد نرمافزار و در سناریوهای خاص ایجاد بستر برای پیامدهای شدیدتر است. اگرچه این CVE بهطور مستقیم به افزایش سطح دسترسی سیستم منجر نمیشود، اما میتواند نقطه شروع زنجیره حملات بعدی باشد.
منابع
