Foxit Patches Multiple Use-After-Free Flaws Leading to Remote Code Execution
2026/07/09 gbhackers — Foxit が公表したのは、広く利用されている PDF Reader/PDF Editor に存在し、リモート・コード実行 (RCE) につながる可能性のある、複数の解放済みメモリ使用 (UAF:Use-After-Free) の脆弱性に対処する重要なセキュリティ更新プログラムのリリースである。

これらの脆弱性は、2026年7月8日付けのセキュリティ情報で公表されたものであり、複数のリリース・ブランチにわたる Windows 版 Foxit PDF Reader/PDF Editor に影響を及ぼすものだ。それが浮き彫りにするのは、埋め込み JavaScript を悪用する細工済み PDF ファイルを介したリスクが継続していることだ。
Foxit の UAF 脆弱性にパッチ適用
今回修正された脆弱性の大半は、CWE-416 (UAF) に分類される不適切なメモリ処理に起因するものである。アプリケーションが解放したメモリ・オブジェクト、または、無効化されたメモリ・オブジェクトへアクセスしようとすることで、この脆弱性は発生する。
攻撃者は、被害者に細工済みの PDF 文書を開かせることで、カレント・ユーザー権限のコンテキストで任意のコードを実行する可能性を得る。一般的には、PDF ファイルに埋め込まれた悪意の JavaScript を介してメモリ破損を引き起こし、最終的にアプリケーションのクラッシュ、または、攻撃者が制御するコードの実行へと至る。
Foxit が確認しているのは、これらの脆弱性が Foxit PDF Reader バージョン 2026.1.1.36485 以下、および、Foxit PDF Editor の 2026.x/2025.x/2024.x/2023.x、そして、レガシーの 14.x/13.x ブランチに影響することだ。
すでに Foxit は、PDF Reader 2026.1.2/Foxit PDF Editor 2026.1.2/Foxit PDF Editor 14.0.5/Foxit PDF Editor 13.2.5 において、これらの問題に対処している。
脆弱性の詳細:
| CVE ID | Category (CWE) | Impact | Severity | CVSS 3.0 Score | Acknowledgement |
|---|---|---|---|---|---|
| CVE-2026-13126 | Use After Free (CWE-416) | Potential Arbitrary Code Execution | Important | 7.8: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | Anonymous working with TrendAI Zero Day Initiative |
| CVE-2026-13127 | Use After Free (CWE-416) | Potential Arbitrary Code Execution | Important | 7.8: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | Anonymous working with TrendAI Zero Day Initiative |
| CVE-2026-13128 | Use After Free (CWE-416) | Potential Arbitrary Code Execution | Important | 7.8: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | Anonymous working with TrendAI Zero Day Initiative |
| CVE-2026-13129 | Use After Free (CWE-416) | Potential Arbitrary Code Execution | Important | 7.8: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | Anonymous working with TrendAI Zero Day Initiative |
| CVE-2026-57237 | Use After Free (CWE-416) | Potential Arbitrary Code Execution | Important | 7.8: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | Anonymous working with TrendAI Zero Day Initiative |
| CVE-2026-57238 | Use After Free (CWE-416) | Potential Arbitrary Code Execution | Important | 7.8: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | Anonymous working with TrendAI Zero Day Initiative |
| CVE-2026-57240 | Use After Free (CWE-416) | Potential Arbitrary Code Execution | Important | 7.8: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | XuPeng |
| CVE-2026-57242 | Use After Free (CWE-416) | Potential Arbitrary Code Execution | Important | 7.8: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | XuPeng |
| CVE-2026-57244 | Use After Free (CWE-416) | Potential Arbitrary Code Execution | Important | 7.8: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | XuPeng |
| CVE-2026-57245 | Use After Free (CWE-416) | Potential Arbitrary Code Execution | Important | 7.8: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | XuPeng |
| CVE-2026-57247 | Use After Free (CWE-416) | Potential Arbitrary Code Execution | Important | 7.8: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | XuPeng |
| CVE-2026-57249 | Use After Free (CWE-416) | Potential Arbitrary Code Execution | Important | 7.8: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | XuPeng |
| CVE-2026-57250 | Use After Free (CWE-416) | Potential Arbitrary Code Execution | Important | 7.8: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | XuPeng |
| CVE-2026-57252 | Use After Free (CWE-416) | Potential Arbitrary Code Execution | Important | 7.8: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | Anonymous working with TrendAI Zero Day Initiative |
| CVE-2026-57256 | Use After Free (CWE-416) | Potential Arbitrary Code Execution | Important | 7.8: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | KPC of Cisco Talos |
| CVE-2026-57239 | Uncontrolled Search Path Element (CWE-427) | Local Privilege Escalation | Important | 8.2: AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N | Luke Paris (@Paradoxis) |
| CVE-2026-57246 | Buffer Copy without Checking Size of Input (CWE-120) | Potential Arbitrary Code Execution | Important | 7.8: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | XuPeng |
| CVE-2026-57248 | Release of Invalid Pointer or Reference (CWE-763) | Potential Arbitrary Code Execution | Important | 7.8: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | XuPeng |
| CVE-2026-57251 | Improper Validation of Array Index (CWE-129) | Potential Arbitrary Code Execution | Important | 7.8: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | XuPeng |
| CVE-2026-57254 | Type Confusion (CWE-843) | Potential Arbitrary Code Execution | Important | 7.8: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | XuPeng |
| CVE-2026-57260 | Out-of-Bounds Write (CWE-787) | Potential Arbitrary Code Execution | Important | 7.8: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | Liang Zhu |
さらに、一連のアプリケーションが、ローカル権限昇格攻撃を受ける可能性のある問題も修正された。Foxit のアップデート・サービスでは、ユーザーが制御可能な実行ファイルが、昇格した権限で実行される。この仕組みを突く攻撃者が、悪意の DLL を実行できる可能性がある点に注意が必要である。
訳者後書:今回の脆弱性は、アプリケーションが解放済みのメモリにアクセスしてしまう、不適切なメモリ処理が原因で発生しました。PDF ファイルに埋め込まれた JavaScript などがメモリ破損を引き起こすことで、任意のコード実行に至る可能性があります。安全な運用のために最新版への更新が推奨されます。よろしければ、Foxit での検索結果も、ご参照ください。
You must be logged in to post a comment.