作成日: 2024/06/11 最終更新日: 2024/07/17
文書種別
不具合
状況
修正済み
詳細
DioDocsのPDFビューワは内部的にPDF.jsの機能を使用しているため、以下の脆弱性の影響があります。
具体的には、PDFビューワでPDFファイルを開いたとき、eval関数によって任意のJavaScriptが無制限に実行される可能性があります。
なお、PDFビューワ (DioDocs for PDF) 以外の弊社製品はPDF.jsの機能を使用していないため、上記の脆弱性による影響はありません。
回避方法
V7J SP1 (7.1.3) で修正済み
なお、PDF.js自体の脆弱性はv4.2.67にて解消されています。
GitHub Advisory Database
PDF.js vulnerable to arbitrary JavaScript execution upon opening a malicious PDF
※以前の回避方法
初期化オプションのisEvalSupportedをfalseに変更することでeval関数の実行を無効化できます。
const viewer = new DsPdfViewer("#root", {
isEvalSupported: false
});
ただし、この回避方法はV7J(dspdfviewer@7.0.1)以降でのみ有効です。
V6J以前では有効な回避方法がありません。