文章总结： 福昕PDF编辑器存在两个跨站脚本漏洞CVE-2026-1591和CVE-2026-1592，均源于文件附件和图层面板输入验证不足，允许攻击者执行任意JavaScript代码窃取敏感数据。漏洞CVSS评分为6.3，属中等严重性。福昕已发布安全补丁，云版自动更新，桌面版需手动检查更新，建议用户尽快升级并限制编辑功能访问。 综合评分： 75 文章分类： 漏洞预警,应用安全,办公安全

福昕PDF编辑器漏洞允许攻击者执行任意JavaScript代码

网安百色

2026年2月4日 18:40 广西

安全更新解决了Foxit PDF Editor Cloud中的关键跨站脚本(XSS)漏洞，这些漏洞可能允许攻击者在用户浏览器中执行任意JavaScript代码。

这些漏洞是在应用程序的文件附件列表和图层面板中发现的，由于输入验证不足和输出编码不当，为恶意代码执行创造了路径。

已发现两个相关的跨站脚本漏洞，并被分配了CVE-2026-1591和CVE-2026-1592。

这两个漏洞源于相同的根本原因：图层名称和附件文件名中用户输入的净化不足。

当用户通过文件附件列表或图层面板与精心构造的载荷进行交互时，漏洞就会被触发。

| CVE ID | 漏洞类型 | CVSS 评分 | 严重性 | 影响 | | — | — | — | — | — | | CVE-2026-1591 | 跨站脚本(CWE-79) | 6.3 | 中等 | 任意JavaScript执行 | | CVE-2026-1592 | 跨站脚本(CWE-79) | 6.3 | 中等 | 任意JavaScript执行 |

该应用程序在将不受信任的输入嵌入HTML结构之前未能正确编码，从而在用户浏览器上下文中实现任意JavaScript执行。

这些漏洞被归类为CWE-79(跨站脚本)，并带有CVSS 3.0评分6.3，表明中等严重性。

攻击向量为基于网络(AV:N)，攻击复杂度低(AC:L)，需要低权限(PR:L) 和用户交互(UI:R)。

影响评估显示机密性风险高，完整性影响有限，无可用性影响。

攻击者利用这些漏洞可以访问经过身份验证的用户可见的敏感信息，包括文档内容和会话数据。

由于需要用户交互和经过身份验证的访问，攻击面受到一定限制，因为攻击者必须首先诱骗用户打开恶意文档或说服他们与精心构造的文件进行交互。

然而，中等严重性评级反映了这些XSS漏洞在广泛使用的PDF编辑应用程序中构成的现实威胁。

修复与响应

福昕已作为2026年2月3日更新的一部分，发布了针对这两个漏洞的安全补丁。云版本无需用户操作，因为更新会自动部署。运行桌面版本的用户应通过应用程序的更新机制检查可用更新。使用Foxit PDF Editor的组织应验证其安装是否正在运行最新修补版本。

安全响应团队建议根据组织的安全策略，审查文件处理实践并适当限制用户对PDF编辑功能的访问。

本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理，文章版权归原作者所有，仅供读者学习、参考，禁止用于商业用途。因转载众多，无法找到真正来源，如标错来源，或对于文中所使用的图片、文字、链接中所包含的软件/资料等，如有侵权，请跟我们联系删除，谢谢！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安百色 《福昕PDF编辑器漏洞允许攻击者执行任意JavaScript代码》