Foxit - CVE-2026-57240

Date de publication :

Il s'agit d'une vulnérabilité de type use-after-free déclenchée lors de l'ouverture d'un fichier PDF contenant du JavaScript embarqué.

Foxit PDF Editor est une suite logicielle de création, d'édition et de consultation de fichiers PDF, également disponible sous une version allégée de lecture appelée Foxit PDF Reader.

Lorsque ce script supprime des champs de formulaire PDF, la logique de traitement continue d'utiliser les anciens pointeurs de champs devenus invalides. Il en résulte une référence à un pointeur non valide, ce qui provoque le crash de l'application.

Elle permet une exécution de code arbitraire potentielle.

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Exécution de code arbitraire (à distance)

Exploitation

La vulnérabilité exploitée est du type
CWE-416 : Use After Free

Détails sur l'exploitation
•   Vecteur d'attaque : Local
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   Foxit PDF Reader versions 2026.1.1.36485 et antérieures
•   Foxit PDF Reader versions 2026.1.1.36485 et antérieures
•   Foxit PDF Editor versions 2025.1.0.27937 jusqu'à 2025.3.0.35737
•   Foxit PDF Editor versions 2024.1.0.23997 jusqu'à 2024.4.1.27687
•   Foxit PDF Editor versions 2023.1.0.15510 jusqu'à 2023.3.0.23028
•   Foxit PDF Editor versions 14.0.0.33046 jusqu'à 14.0.4.33508
•   Foxit PDF Editor versions 13.2.4.24048 et antérieures

Solutions ou recommandations

•   Foxit PDF Reader versions 2026.1.2 et supérieures
•   Foxit PDF Editor versions 2026.1.2 et supérieures
•   Foxit PDF Editor versions 14.0.5 et supérieures
•   Foxit PDF Editor versions 13.2.5 et supérieures