Foxit Softwareは、同社のPDFリーダーおよびPDFエディター製品ラインにまたがる30件以上の脆弱性に対処する、協調的なセキュリティアップデート群をリリースしました。この中には「重要」と評価され、CVSSスコアが最大8.2に達する複数の欠陥も含まれています。
2026年7月8日に行われた今回のパッチ適用は、WindowsおよびmacOS版を対象としており、現行の2026.xリリースに加え、旧バージョンの14.xおよび13.2.Noneにも及びます。
修正済みバージョンには、Windows版のFoxit PDF Reader 2026.1.2、Foxit PDF Editor 2026.1.2、Foxit PDF Editor 14.0.5、Foxit PDF Editor 13.2.5に加え、Mac版のFoxit PDF Reader for Mac 2026.1.2、Foxit PDF Editor for Mac 2026.1.2/14.0.5/13.2.5が含まれます。
影響を受けるバージョンは2023.xリリースやFoxit PhantomPDF 13.2.4.24048以前にまでさかのぼるため、最近アップデートを行っていない旧バージョンを運用している組織は、大きなリスクにさらされていることになります。
公表された問題の大部分は、悪意のあるJavaScriptが埋め込まれたPDFをアプリケーションが解析する際に引き起こされる解放後使用(use-after-free、CWE-416)の問題です。
CVE-2026-13126からCVE-2026-57256にかけての脆弱性は、共通の根本原因を抱えています。すなわち、JavaScriptの実行によってページやアノテーションの状態が適切な再検証なしに変更されることが多く、その結果ソフトウェアがすでに解放された無効なポインタや破損したオブジェクトにアクセスしてしまうというものです。
これらの大半はCVSSスコア7.8で「重要」と評価されています。悪用に成功すると、任意のコード実行や情報漏えいにつながる可能性があるためです。
中でも注目すべき問題の一つが、Foxitのアップデートサービス自体に影響するCVE-2026-57239です。スコア8.2と評価され、非制御検索パス要素(Uncontrolled Search Path Element、CWE-427)に分類されるこの欠陥は、ローカルの低権限ユーザーがアップデートサービスをだまして悪意のあるDLLを昇格した権限で読み込ませることを可能にし、結果としてNT AUTHORITY\SYSTEM権限を取得できる恐れがあります。
この問題が特に注目される理由は、悪意のあるPDFファイルを一切必要としない点にあります。アップデート機構とローカルファイルシステムとの間の信頼関係そのものを悪用するのです。この発見は研究者のLuke Paris氏(@Paradoxis)によるものとされています。
Foxitによると、範囲外読み取り(out-of-bounds read、CWE-125)に関する複数の脆弱性は「中程度」と評価されCVSSスコアは6.1で、不正な形式のページツリー、画像オブジェクト、カラースペースの取り扱い不備に起因しています。
これに関連する一連の脆弱性群、すなわち範囲外書き込み、型の混同(type confusion、CWE-843)、配列インデックスの検証不備(CWE-129)は、いずれもCVSSスコア7.8で「重要」と評価されており、JavaScriptがアノテーションオブジェクトを変更する際、あるいはアプリケーションが不正な形式の3Dコンテンツ(3D信頼が有効化されたPRCストリームやUnity 3Dオブジェクト)を処理する際の境界チェック不足に起因します。
公表内容の最後を締めくくるのが、XDP文書解析におけるXML外部エンティティ(XXE)の脆弱性(CWE-611)であるCVE-2026-57259です。これにより攻撃者は、PDFに見せかけたファイルを細工し、安全でないXMLエンティティ解決を通じてデータを窃取できます。
この脆弱性はネットワーク経由の攻撃ベクター(AV:N)を持つ点で、本アドバイザリの大部分を占めるローカルベクターの欠陥とは一線を画しています。
Foxitは、ヘルプメニュー内のアプリ内「アップデートを確認」機能を利用するか、Foxitの製品カタログから最新のインストーラーを直接ダウンロードしてアップデートすることを推奨しています。
影響を受ける旧バージョンの範囲は2023.xビルドにまでさかのぼるものもあることから、組織は導入済みのFoxit製品すべてについて棚卸しを優先的に行うべきです。特にPDFエディターのインストールが見落とされている可能性がある環境では注意が必要です。
企業は、典型的なPDFベースの攻撃ベクターを完全に迂回するアップデートサービスの権限昇格バグについても、直ちに対応すべき問題として認識しておくべきです。
翻訳元: https://cyberpress.org/foxit-patches-pdf-reader-editor-vulnerabilities/