注册/登录

福昕PDF电子文档处理套装软件(简称为“福昕高级PDF编辑器”)14.0安全更新

2025-08-20

平台Windows

 

摘要

福昕软件于20258月20日发布福昕高级PDF编辑器14.0。更新版本修复了潜在安全和稳定性问题。

 

受影响版本

 

产品受影响版本平台
福昕高级PDF编辑器13.1.7.23637及之前版本Windows

 

解决方案

 

请选择以下任意操作进行升级:

 

 

漏洞详情

 

提要漏洞编号漏洞类别漏洞影响严重性CVSS 3.0评分鸣谢
解决了在解析特定PRCJP2文件时,因未经恰当验证越界读取数据,导致程序可能遭受越界读漏洞攻击并产生崩溃的问题。攻击者可以利用该漏洞执行远程代码或泄露信息。CVE-2025-9329越界读(CWE-125任意代码执行重要7.8: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

  • Trend Micro Zero Day Initiative成员Mat Powell

CVE-2025-9328

越界读(CWE-125

任意代码执行

重要

7.8: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

  • Trend Micro Zero Day Initiative成员Mat Powell

CVE-2025-9327

越界读(CWE-125

信息泄露

3.3: AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

  • Trend Micro Zero Day Initiative成员Mat Powell

CVE-2025-9326

越界读(CWE-125

任意代码执行

重要

7.8: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

  • Trend Micro Zero Day Initiative成员Mat Powell

CVE-2025-9325

越界读(CWE-125

信息泄露

3.3: AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

  • Trend Micro Zero Day Initiative成员Mat Powell

CVE-2025-9324

越界读(CWE-125

信息泄露

3.3: AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

  • Trend Micro Zero Day Initiative成员Mat Powell

CVE-2025-9323

越界读(CWE-125

信息泄露

3.3: AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

  • soiax Trend Micro Zero Day Initiative

解决了在执行特定PDF文件中内嵌的JavaScript时,因访问越界或未经恰当验证使用了野指针/空指针,导致程序可能遭受越界读、释放后使用或空指针解引用漏洞攻击并产生崩溃的问题。攻击者可以利用该漏洞泄露信息或执行任意代码。CVE-2025-55307

越界读(CWE-125

信息泄露

3.3: AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

  • UCSB Seclab成员Suyue Guo

CVE-2025-55308

释放后使用(CWE-416

信息泄露

6.7:

AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H

  • UCSB Seclab成员Suyue Guo

CVE-2025-55312

越界读(CWE-125

任意代码执行

重要

7.5: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

  • UCSB Seclab成员Suyue GuoTianle Yu
CVE-2025-55313

空指针解引用(CWE-476

任意代码执行

重要

7.5: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

  • UCSB Seclab成员Suyue GuoTianle Yu
CVE-2025-55314

释放后使用(CWE-416

任意代码执行

重要

7.5: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

  • UCSB Seclab成员Suyue GuoTianle Yu
解决了因程序将起始页的静态HTML文件放置在用户具有写权限的目录中且在启动过程中加载起始页时未能进行恰当验证,导致程序在启动时可能遭受任意HTML注入漏洞攻击的问题。攻击者可以利用该漏洞,通过运行恶意HTML文件或JavaScript的方式来泄露信息。CVE-2025-55310

下载代码时未进行完整性检查(CWE-494

任意HTML注入

重要

7.3: AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H

  • Jukka Juntunen / Hypervisio Oy

解决了在处理含有JavaScript的特定签名文档时,因文档被JavaScript修改后程序未能恰当验证加密签名,导致程序可能显示错误签名验证信息的问题。攻击者可以利用该漏洞篡改文档内容、欺骗用户信任被篡改的文档。CVE-2025-55311

加密签名验证不当(CWE-347

签名验证绕过

6.5:

AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N

  • Titus VollbrachtSören BorgstedtChristian MainkaVladislav Mladenov

解决了在验证特定PDF文件的签名时,因签名对象部分字段缺失造成验证过程中出现初始化异常,导致程序可能遭受未初始化指针漏洞攻击并产生崩溃的问题。攻击者可以利用该漏洞实施拒绝服务攻击。CVE-2025-32451

变量未初始化(CWE-456

拒绝服务

重要

8.8: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

  • Cisco Talos成员KPC

解决了因搜索DLL库时未指定绝对路径,导致程序可能遭受非受控搜索路径元素特权升级漏洞攻击的问题。攻击者可以利用该漏洞执行恶意DLL文件。CVE-2025-9330

DLL劫持(CWE-427

任意代码执行

重要

7.8: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

  • Alexander StaalgaardTrend Micro Zero Day Initiative

  • DarkLab成员Jonathan Choi

 

如需了解更多详细信息,请联系福昕安全响应团队(邮箱:security-ml@foxit.com)。