Foxit PDF Editor Vulnerabilities Let Attackers Execute Arbitrary JavaScript
2026/02/03 CyberSecurityNews — Foxit PDF Editor Cloud に存在する、深刻なクロスサイト・スクリプティング (XSS) 脆弱性 CVE-2026-1591/CVE-2026-1592 に対処するセキュリティ更新が提供された。この脆弱性を悪用する攻撃者は、ユーザーのブラウザ上で任意の JavaScript コードを実行できる。この脆弱性は、アプリケーションの File Attachments リスト/Layers パネルに存在し、不十分な入力検証/不適切な出力エンコードにより、悪意のコード実行の経路が生成されていた。
この 2 つの脆弱性は、レイヤー名/添付ファイル名に含まれるユーザー入力への不十分なサニタイズという、同一の原因に起因している。細工されたペイロードを取り込んだ File Attachments リスト/Layers パネルと、ユーザーが対話するケースで、この脆弱性は発動する。信頼されていない入力を HTML 構造に埋め込む前の、アプリケーションによる適切なエンコードが欠落しているため、その結果として、ユーザーのブラウザ・コンテキスト内で任意の JavaScript 実行が可能となる。
| CVE ID | Vulnerability Type | CVSS Score | Severity | Impact |
|---|---|---|---|---|
| CVE-2026-1591 | Cross-site Scripting (CWE-79) | 6.3 | Moderate | Arbitrary JavaScript Execution |
| CVE-2026-1592 | Cross-site Scripting (CWE-79) | 6.3 | Moderate | Arbitrary JavaScript Execution |
これらの脆弱性は CWE-79 (XSS) に分類され、CVSS 3.0 スコアは 6.3 (Medium) と評価されている。攻撃ベクターはネットワーク経由 (AV:N) であり、攻撃の複雑性は低 (AC:L)、必要な権限は低 (PR:L)、ユーザー操作は必須 (UI:R) である。 脆弱性に対する評価として、機密性への影響は高いと評価されるが、完全性への影響は限定的であり、可用性への影響は確認されていない。
これらの脆弱性の悪用に成功した攻撃者は、認証済みユーザーだけが閲覧できる機密情報である、ドキュメント内容/セッション・データへのアクセスが可能となる。 ただし、ユーザー操作/認証済みアクセスが必要である点で、攻撃の対象範囲は制限される。攻撃者にとって必要なことは、悪意のドキュメントを開かせること、もしくは、特別に細工されたファイルとの対話をユーザーに行わせることである。
しかし、広く利用されている PDF 編集アプリケーションの XSS 脆弱性であることから、中程度 (Medium) と評価される深刻度は、現実的な脅威レベルを反映したものといえる。
是正措置と対応
すでに Foxit は、2026年2月3日付の Foxit PDF Editor Cloud アップデートにより、これらの脆弱性に対処するセキュリティ・パッチを公開している。 Cloud 版では更新が自動的に適用されるため、ユーザー側での操作は不要であると Foxit は強調している。 デスクトップ版を利用するユーザーにとって必要なことは、アプリケーションの更新機構を通じて、最新の修正が適用されていることの確認である。 Foxit PDF Editor を利用する組織は、導入環境において修正済みの最新バージョンが稼働していることを確認すべきである。
セキュリティ対応チームに推奨されるのは、ファイル取り扱い手順の見直し、および、組織のセキュリティ・ポリシーに基づいた PDF 編集機能へのユーザー・アクセス制御である。 セキュリティに関する問い合わせは、Foxit Security Response Team (security-ml@foxit.com) が対応している。また、追加のセキュリティ・アドバイザリ/脆弱性報告に関する情報は、Foxit の公式セキュリティ・ページで提供されている。
この問題の原因は、PDF 内の “レイヤー名” や “添付ファイル名”といった、ユーザーが自由に書き換えられる情報を表示する際に、その中に含まれる悪意のプログラム (JavaScript) を無効化する処理 (サニタイズやエスケープ) が欠落していたことにあります。具体的には、攻撃者が特殊な名前 (例:<script>alert(1)</script> など) を付けたレイヤーや添付ファイルを含む PDF を作成し、それを被害者に開かせます。そのレイヤー・パネルや添付ファイル・リストをユーザーが表示するときに、名前として埋め込まれていたコードが、”文字” としてではなく “命令” としてブラウザ内で実行されてしまいます。これがクロスサイト・スクリプティング (XSS) と呼ばれる脆弱性の正体です。ご利用のチームは、ご注意ください。よろしければ、Foxit での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.