PDF.js是Mozilla推出的一款开源PDF文件阅读器。
其4.1.392版本及以前,PDF.js中存在一处JavaScript代码注入漏洞。
服务启动后,访问http://your-ip:8080你可以看到一个上传页面。
漏洞复现
上传恶意PDF文件[poc.pdf](poc.pdf),即可触发XSS弹窗:
PDF.js是Mozilla推出的一款开源PDF文件阅读器。
其4.1.392版本及以前,PDF.js中存在一处JavaScript代码注入漏洞。
服务启动后,访问http://your-ip:8080你可以看到一个上传页面。
漏洞复现
上传恶意PDF文件[poc.pdf](poc.pdf),即可触发XSS弹窗: