- شناسه CVE-2025-55309 :CVE
- CWE-416 :CWE
- yes :Advisory
- منتشر شده: دسامبر 11, 2025
- به روز شده: دسامبر 11, 2025
- امتیاز: 6.7
- نوع حمله: Use after free
- اثر گذاری: Memory Corruption
- حوزه: نرم افزارهای کاربردی
- برند: Foxit
- محصول: Foxit PDF Editor
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری استفاده پس از آزادسازی (Use-After-Free) در پردازش Annotations و جاوااسکریپتهای جاسازیشده در فایلهای PDF در محصولات Foxit PDF Editor و Foxit PDF Reader برای ویندوز و macOS شناسایی شده است. در این آسیبپذیری، مهاجم لوکال با دسترسی پایین میتواند با ترغیب کاربر به باز کردن یک PDF مخرب و انجام کلیک راست روی یک فیلد فرم، موجب آزادسازی زودهنگام آبجکت Annotation شود که این وضعیت میتواند منجر به خرابی حافظه، کرش برنامه و در سناریوهای خاص اجرای کد گردد.
توضیحات
آسیبپذیری CVE-2025-55309 ناشی از ضعف استفاده پس از آزادسازی حافظه (Use-After-Free) مطابق با CWE-416 در محصولات Foxit PDF Editor و Foxit PDF Reader برای سیستمعاملهای ویندوز و macOS است. این ضعف در جریان پردازش جاوااسکریپتهای جاسازیشده در فایلهای PDF و مدیریت داخلی آبجکتهای گرافیکی از نوع Annotation رخ میدهد.
در این سناریو، یک فایل PDF مخرب میتواند شامل کد جاوااسکریپتی باشد که یک اقدام OnBlur را به یک فیلد فرم متصل میکند؛ بهگونهای که هنگام از دست رفتن فوکوس فیلد، عملیات حذف یا تخریب یک آبجکت Annotation (مانند یادداشت، هایلایت یا سایر المنت های تعاملی PDF) انجام میشود. هنگام تعامل کاربر و بهویژه در زمان کلیک راست روی فیلد فرم، مکانیزم داخلی برنامه برای مدیریت تغییر فوکوس (Focus Change Handling) بهصورت نادرست عمل کرده و آبجکت Annotation را در حالی آزاد میکند که همچنان در بخشهای دیگری از برنامه مورد استفاده قرار دارد.
در ادامه، برنامه تلاش میکند به اشارهگر حافظهای که قبلاً آزاد شده است دسترسی پیدا کند و این وضعیت منجر به بروز شرایط استفاده پس از آزادسازی میشود. این دسترسی نامعتبر به حافظه میتواند باعث خرابی حافظه (Memory Corruption)، عملکرد غیرقابل پیشبینی برنامه یا کرش کامل نرمافزار گردد.
در سناریوی بهرهبرداری، مهاجم با سطح دسترسی پایین و بدون نیاز به دسترسی خاص، میتواند کاربر را به باز کردن یک فایل PDF مخرب ترغیب کند. پس از باز شدن فایل و انجام تعامل لازم از سوی کاربر (نظیر کلیک راست روی فیلد فرم)، کد جاوااسکریپت تعبیهشده فعال شده و زمینه سوءاستفاده از اشارهگرهای آزادشده را فراهم میکند. در صورت کنترلپذیر بودن خرابی حافظه، این شرایط میتواند منجر به دستکاری دادههای حافظه، افشای اطلاعات حساس و در سناریوهای پیشرفتهتر، اجرای کد دلخواه در بستر برنامه آسیبپذیر شود.
این آسیبپذیری نیازمند تعامل کاربر بوده و حمله بهصورت لوکال انجام میشود؛ به این معنا که بهرهبرداری تنها زمانی امکانپذیر است که کاربر فایل PDF مخرب را با یکی از محصولات Foxit باز کند، اجرای جاوااسکریپت در PDF فعال باشد و تعامل مشخصی رخ دهد که باعث تغییر فوکوس شود. با توجه به ماهیت خطاهای مدیریت حافظه، پیامدهای این ضعف میتواند تأثیر قابلتوجهی بر محرمانگی، یکپارچگی و دسترسپذیری سیستم داشته باشد. شرکت Foxit این آسیبپذیری را با انتشار نسخههای بهروزرسانیشده امنیتی پچ کرده است.
CVSS
| Score | Severity | Version | Vector String |
| 6.7 | MEDIUM | 3.1 | CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H |
لیست محصولات آسیب پذیر
| Versions | Platforms | Product |
| 2025.2.0.33046 and earlier | Windows | Foxit PDF Reader (previously named Foxit Reader) |
| 2025.2.0.33046 and all previous 2025.x versions, 2024.4.1.27687 and all previous 2024.x versions, 2023.3.0.23028 and all previous 2023.x versions, 14.0.0.33046, 13.2.0.23874 and earlier | Windows | Foxit PDF Editor (previously named Foxit PhantomPDF) |
| 2025.2.0.68868 and all previous 2025.x versions, 2024.4.1.66479 and all previous 2024.x versions, 2023.3.0.63083 and all previous 2023.x versions, 14.0.0.68868, 13.2.0.63256 and earlier | macOS | Foxit PDF Editor for Mac (previously named Foxit PhantomPDF Mac) |
| 2025.2.0.68868 and earlier | macOS | Foxit PDF Reader for Mac (previously named Foxit Reader Mac) |
لیست محصولات بروز شده
| Versions | Platforms | Product |
| 2025.2.1 | Windows | Foxit PDF Reader (previously named Foxit Reader) |
| 2025.2.1/14.0.1/13.2.1 | Windows | Foxit PDF Editor (previously named Foxit PhantomPDF) |
| 2025.2.1/14.0.1/13.2.1 | macOS | Foxit PDF Editor for Mac (previously named Foxit PhantomPDF Mac) |
| 2025.2.1 | macOS | Foxit PDF Reader for Mac (previously named Foxit Reader Mac) |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که Foxit را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google
(Total Pages) |
Search Query (Dork) | Product |
| 77,700 | site:.ir “Foxit” | Foxit |
نتیجه گیری
آسیبپذیری استفاده پس از آزادسازی (Use-After-Free) با شدت متوسط در Foxit PDF Editor و Foxit PDF Reader امکان خرابی حافظه، کرش برنامه و در سناریوهای پیشرفته اجرای کد دلخواه را از طریق جاوااسکریپت مخرب و تعامل کاربر در PDFهای مخرب فراهم میکند. این ضعف تنها در سناریوهای لوکال و هنگام باز شدن PDF توسط کاربر فعال میشود. با توجه به انتشار پچهای امنیتی، اجرای اقدامات زیر برای جلوگیری از بهرهبرداری و کاهش سطح ریسک ضروری است:
- بهروزرسانی فوری: تمام نصبهای Foxit PDF Editor و Foxit PDF Reader را به نسخه 2025.2 یا بالاتر بهروزرسانی کنید. این اقدام، مؤثرترین و قطعیترین راهکار برای رفع آسیبپذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و میتوانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
- غیرفعالسازی جاوااسکریپت در PDF: در صورت عدم نیاز، اجرای جاوااسکریپت را در تنظیمات Foxit غیرفعال کنید تا احتمال اجرای اسکریپتهای مخرب کاهش یابد.
- محدودسازی دسترسی: حسابهای کاربری را با حداقل سطح دسترسی مدیریت کنید و از باز کردن PDFهای ناشناخته با حساب Administrator اجتناب نمایید.
- نظارت و اسکن: فایلهای PDF ورودی را با ابزارهای آنتیویروس بهروز یا اسکنرهای تخصصی PDF بررسی کنید و لاگهای Foxit را برای فعالیتهای مشکوک مانند کرشهای مرتبط با Annotation مانیتور نمایید.
- ایزولهسازی محیط اجرا: PDFها را در محیطهای ایزوله مانند Windows Sandbox یا ماشین مجازی باز کنید تا تأثیر احتمالی خرابی حافظه محدود شود.
- استفاده از ابزارهای حفاظتی: در محیطهای سازمانی، از ابزارهای Endpoint Security و EDR مانند Microsoft Defender for Endpoint برای شناسایی عملکردهای مشکوک هنگام پردازش PDF استفاده کنید.
- آموزش کاربران: کاربران را درباره ریسک باز کردن فایلهای PDF از منابع ناشناخته، تعامل با فیلدهای فرم و اهمیت بهروزرسانی آموزش دهید.
اجرای این اقدامات، بهویژه بهروزرسانی سریع و غیرفعالسازی جاوااسکریپت، ریسک بهرهبرداری از این آسیبپذیری را بهطور چشمگیری کاهش داده و امنیت پردازش فایلهای PDF در Foxit را بهصورت قابلتوجهی افزایش میدهد.
امکان استفاده در تاکتیک های Mitre Attack
Initial Access (TA0001)
دسترسی اولیه از طریق ترغیب کاربر به باز کردن یک فایل PDF مخرب حاوی JavaScript و Annotation دستکاریشده انجام میشود. مهاجم نیاز به دسترسی قبلی به سیستم ندارد و تنها با مهندسی اجتماعی و ارسال فایل PDF (ایمیل، پیامرسان، دانلود) میتواند نقطه ورود را ایجاد کند.
Execution (TA0002)
اجرای کد در بستر JavaScript داخلی Foxit PDF و در نتیجه تعامل کاربر کلیک راست و تغییر فوکوس OnBlur رخ میدهد. در منابع عمومی، اجرای کد دلخواه بهصورت قطعی اثبات نشده، اما اجرای JavaScript مخرب و Trigger شدن مسیر آسیبپذیر تأیید شده است.
Defense Evasion (TA0005)
PDF مخرب میتواند بدون شناسایی فوری، از طریق JavaScript و Annotationهای بهظاهر معتبر عمل کند و تا زمان تعامل کاربر از دید برخی کنترلهای امنیتی عبور کند.
Collection (TA0009)
در صورت سوءاستفاده موفق، مهاجم میتواند دادههای موجود در حافظه برنامه Foxit محتوای PDF، متادیتا یا اطلاعات پردازشی را جمعآوری کند.
Impact (TA0040)
پیامد اصلی شامل Memory Corruption، کرش برنامه، اختلال در دسترسپذیری و افشای اطلاعات است. اجرای کد دلخواه بهعنوان سناریوی پیشرفته و وابسته به شرایط خاص مطرح میشود، اما در منابع عمومی PoC اثباتشده برای RCE وجود ندارد.
منابع
