Foxit PDF编辑器曝高危漏洞，攻击者可植入执行任意JS代码

安全更新已发布，旨在修复Foxit PDF Editor Cloud中存在的严重跨站脚本（XSS）漏洞。这些漏洞可能允许攻击者在用户的浏览器中执行任意JavaScript代码。

漏洞存在于应用程序的“文件附件”列表和“图层”面板中。由于对用户输入的验证不足以及输出编码不当，为恶意代码执行创造了条件。

目前共发现两个相关的跨站脚本漏洞，编号分别为 CVE-2026-1591 与 CVE-2026-1592。

两个漏洞均源于同一根本原因：对图层名称和附件文件名中的用户输入净化不足。当用户通过“文件附件”列表或“图层”面板与特制的恶意负载进行交互时，应用程序未能将不可信的输入在嵌入HTML结构前进行正确编码，从而使得攻击者可以在用户的浏览器上下文中执行任意JavaScript代码。


这些漏洞被归类于CWE-79（跨站脚本），其CVSS 3.0评分为6.3，属于中危级别。攻击向量基于网络（AV:N），攻击复杂度低（AC:L），需要低权限（PR:L）和用户交互（UI:R）。影响评估显示，其对机密性构成高风险，对完整性影响有限，对可用性无影响。

成功利用这些漏洞的攻击者，可以访问已认证用户可见的敏感信息，包括文档内容和会话数据。由于需要用户交互和已认证的访问权限，攻击面在一定程度上受到限制——攻击者必须先诱使用户打开恶意文档，或说服其与特制文件进行交互。然而，中危的评级正反映了这些XSS漏洞在这款被广泛使用的PDF编辑应用程序中所构成的现实威胁。

修复与响应措施
Foxit已在2026年2月3日发布的Foxit PDF Editor Cloud更新中，提供了修复这两个漏洞的安全补丁。

该公司强调，对于云端版本的用户，无需采取任何行动，更新将自动部署。运行桌面版本的用户，则应通过应用程序的更新机制检查并安装可用更新。

使用Foxit PDF Editor的组织应确认其安装的版本已更新至最新的修复版本。安全响应团队建议，在组织安全政策允许的范围内，审查文件处理流程并酌情限制用户对PDF编辑功能的访问。

如有安全相关问题，可通过 [email protected] 联系Foxit安全响应团队。更多安全通告及漏洞报告信息，请访问Foxit官方安全页面。