Foxit - CVE-2026-57240
Date de publication :
Il s'agit d'une vulnérabilité de type use-after-free déclenchée lors de l'ouverture d'un fichier PDF contenant du JavaScript embarqué.
Foxit PDF Editor est une suite logicielle de création, d'édition et de consultation de fichiers PDF, également disponible sous une version allégée de lecture appelée Foxit PDF Reader.
Lorsque ce script supprime des champs de formulaire PDF, la logique de traitement continue d'utiliser les anciens pointeurs de champs devenus invalides. Il en résulte une référence à un pointeur non valide, ce qui provoque le crash de l'application.
Elle permet une exécution de code arbitraire potentielle.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire (à distance)
Exploitation
CWE-416 : Use After Free
Détails sur l'exploitation
• Vecteur d'attaque : Local
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• Foxit PDF Reader versions 2026.1.1.36485 et antérieures
• Foxit PDF Reader versions 2026.1.1.36485 et antérieures
• Foxit PDF Editor versions 2025.1.0.27937 jusqu'à 2025.3.0.35737
• Foxit PDF Editor versions 2024.1.0.23997 jusqu'à 2024.4.1.27687
• Foxit PDF Editor versions 2023.1.0.15510 jusqu'à 2023.3.0.23028
• Foxit PDF Editor versions 14.0.0.33046 jusqu'à 14.0.4.33508
• Foxit PDF Editor versions 13.2.4.24048 et antérieures
Solutions ou recommandations
• Foxit PDF Editor versions 2026.1.2 et supérieures
• Foxit PDF Editor versions 14.0.5 et supérieures
• Foxit PDF Editor versions 13.2.5 et supérieures