Foxit PDF Reader CVE-2026-5943 利用后释放 RCE 漏洞被利用

执行摘要

根据2026年4月28日Zero Day Initiative (ZDI) 发布的公告，Foxit PDF Reader在其AcroForm注释处理中包含一个使用后释放漏洞，该漏洞可以被利用进行远程代码执行（RCE），无需认证。这个缺陷被跟踪为CVE-2026-5943，CVSS v3.1基础得分为7.8（高）。利用需要用户交互——目标必须打开恶意PDF文件或访问加载精心制作的PDF的页面。ZDI已将此问题报告给Foxit，但截至公告日期，尚未披露是否有补丁可用。

技术分析

该漏洞存在于Foxit PDF Reader处理AcroForm注释的方式中——这些是嵌入在PDF文档中的交互式表单元素。当软件在释放与注释处理相关的对象后未能正确管理内存时，就会发生使用后释放条件。攻击者如果制作了一个带有格式错误或特别排序的AcroForm注释的PDF，可以触发这个缺陷，导致应用程序引用一个悬挂的指针。这可能导致在当前用户的上下文中执行任意代码。

ZDI的公告（ZDI-26-304）指出，该漏洞可以从默认攻击面访问：除了标准的PDF阅读器安装之外，不需要特殊的权限或配置。CVSS向量字符串反映了低攻击复杂性和无需权限，尽管攻击向量是本地的（需要文件打开或页面访问）。用户交互需求是主要的缓解因素。

公告没有指定受影响的Foxit PDF Reader版本范围。ZDI通常在补丁可用之前保留版本细节，以防止主动利用。截至本文撰写时，Foxit尚未发布针对CVE-2026-5943的公共安全公告或更新版本。

缓解措施与建议

在Foxit发布PDF Reader的修补版本之前，防御者应该将所有未经请求的PDF文件视为潜在的攻击向量。在企业环境中使用Foxit PDF Reader的组织应该考虑：

• 在电子邮件网关或Web代理处限制从不可信来源下载PDF文件。
• 启用Microsoft Defender攻击面减少（ASR）规则，阻止Office或PDF应用程序创建子进程。
• 在可能的情况下使用沙盒化的PDF查看器或基于浏览器的PDF渲染，以限制代码执行的影响。
• 监控来自Foxit PDF Reader的不寻常进程活动，例如生成cmd.exe、PowerShell或网络连接。

ZDI的披露政策通常允许供应商在公开发布前有120天的时间进行修补。如果Foxit尚未发货修复，用户可能处于延长的暴露窗口。Foxit或ZDI尚未发布任何变通方法。