【漏洞通报】契约锁电子签章系统 pdfverifier 远程代码执行漏洞

漏洞情况

近期，火山信安实验室监测发现，在针对企业级电子签章系统的攻击面分析中，发现契约锁电子签章系统的 PDFVerifier 组件存在未公开的远程代码执行漏洞，该漏洞源于 PDFVerifier 组件在解析用户上传的 PDF 文件时，未对文件中的特定对象（如 JavaScript 脚本、嵌入式对象、格式异常的流数据）进行严格校验，导致攻击者可构造恶意 PDF 文件触发内存错误（如堆溢出、类型混淆），进而执行任意代码。

0x01漏洞利用方式

攻击者手段多样且极具隐蔽性与危害性，他们常会利用邮件附件或者虚假签章链接作为诱饵，诱导用户下载并打开恶意 PDF 文件，以此开启攻击链条；也会对合法电子合同或签章流程中的 PDF 文件进行篡改，在用户毫无察觉的情况下触发潜在漏洞，达成非法目的；更有甚者，会结合凭证泄露或弱口令等情况，将攻击目标指向内网中部署契约锁系统的服务器，成功攻破后进一步控制核心业务系统，给企业和组织带来严重的安全风险与损失。

0x02影响范围

• v3.x < v3.8.5
• v4.x < v4.2.1（部分功能存在漏洞）

0x03修复方案

1. 升级至 v3.8.5+ 或 v4.2.1+ 的版本

来源自：广州盈基信息官网