Especialistas en ciberseguridad reportan la detección de una vulnerabilidad en Nitro Pro, uno de los más populares programas para la lectura y edición de archivos PDF. Según el reporte, la explotación exitosa de estas fallas permitiría el despliegue de severos escenarios de riesgo.
A continuación se presenta un breve reporte de las fallas detectadas, además de sus respectivas claves de identificación y puntajes asignados acorde al Common Vulnerability Scoring System (CVSS).
CVE-2021-21796: Un error use-after-free en la implementación de JavaScript dentro del objeto “local_file_path” permitiría a los actores de amenazas remotos engañar al usuario objetivo empleando un documento especialmente diseñado para ejecutar código arbitrario en el sistema afectado.
La vulnerabilidad recibió un puntaje CVSS de 7.7/10 y su explotación exitosa permitiría el compromiso total del sistema objetivo, por lo que se le considera un error de alta severidad.
CVE-2021-21797: Por otra parte, un error de límite en la implementación de JavaScript permitiría a los hackers remotos enviar a la víctima un documento especialmente diseñado para ejecutar código arbitrario en el sistema vulnerable, mencionan los expertos en ciberseguridad.
Esta falla recibió un puntaje CVSS de 7.7/10 y su explotación exitosa permitiría a los actores de amenazas obtener acceso completo al sistema objetivo.
Según el reporte, ambas fallas residen en las siguientes versiones de Nitro Pro: v13.31.0.605 y v13.33.2.645.
Si bien las vulnerabilidades pueden ser explotadas por actores de amenazas no autenticados mediante el uso de documentos PDF, los expertos en ciberseguridad no han detectado intentos de explotación activa o la existencia de una variante de malware asociada al ataque. Los parches de seguridad ya están disponibles, por lo que se recomienda a los usuarios de implementaciones afectadas actualizar a la brevedad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).