MEDIUMCVE-2026-3778CVSS 6.2

Foxit PDF Editor/Readerにおける循環参照によるスタック枯渇

プラットフォーム

windows

コンポーネント

foxit-pdf-editor

修正版

2025.3.1

14.0.3

13.2.3

2025.3.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-3778 は、Foxit PDF Editor において、PDF 文書内の JavaScript 処理において循環参照を適切に検出・防御しない脆弱性です。この脆弱性を悪用されると、PDF 内のページや注釈が互いに参照し合うループ構造を持つ文書を、SOAP などの API を介して処理する際に、制御不能な再帰が発生し、スタックの枯渇やアプリケーションのクラッシュを引き起こす可能性があります。影響を受けるバージョンは Foxit PDF Editor 2025.3 以前です。現時点では公式な修正パッチは提供されていません。

影響と攻撃シナリオ

CVE-2026-3778 は Foxit PDF Editor に影響を与え、JavaScript 内の循環 PDF オブジェクト参照の処理に関連する重要な脆弱性を明らかにします。アプリケーションはこれらの参照を検出し、ガードしないため、攻撃者は互いに参照し合うページと注釈を含む悪意のある PDF ドキュメントを作成できます。これらのドキュメントを、深いトラバースを実行する API (例: SOAP) を通して処理すると、制御不能な再帰、スタックの枯渇、アプリケーションのクラッシュが発生する可能性があります。CVSS 重度は 6.2 で、中程度から高いリスクを示します。Foxit からの公式な修正プログラムがないことは状況を悪化させ、ユーザーの即時対応が必要です。

悪用の状況

CVE-2026-3778 の悪用には、特別に作成された PDF ドキュメントの作成が必要です。このドキュメントには、JavaScript と、ページと注釈間の循環参照が含まれている必要があります。攻撃者は次に、被害者をこのドキュメントを開かせたり、ドキュメントを処理する API を使用させたりして、再帰とアプリケーションの失敗を引き起こす必要があります。悪用の成功は、被害者のシステム構成と PDF を処理するために使用される API に依存します。悪意のあるドキュメントの作成の複雑さは制限要因になる可能性がありますが、公式な修正プログラムがないため、この脆弱性は重大なリスクとなります。

リスク対象者翻訳中…

Organizations and individuals using Foxit PDF Editor versions 2025.3 and earlier are at risk. This includes users who frequently handle PDF documents from untrusted sources, particularly those integrated with SOAP or other APIs that perform deep PDF traversal. Shared hosting environments where multiple users share the same instance of Foxit PDF Editor are also at increased risk.

攻撃タイムライン

2026-04-01Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出低

レポート1 脅威レポート

EPSS

0.02% (4% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントfoxit-pdf-editor

ベンダーFoxit Software Inc.

影響範囲修正版

Versions 2025.3 and earlier – Versions 2025.3 and earlier2025.3.1

Versions 14.0.2 and earlier – Versions 14.0.2 and earlier14.0.3

Versions 13.2.2 and earlier – Versions 13.2.2 and earlier13.2.3

Versions 2025.3 and earlier – Versions 2025.3 and earlier2025.3.1

弱点分類 (CWE)

CWE-674

タイムライン

予約済み2026-03-08
公開日2026-04-01
更新日2026-04-02
EPSS 更新日2026-04-08

未パッチ — 公開から53日経過

緩和策と回避策

Foxit が CVE-2026-3778 の修正プログラムを提供していないため、軽減策はリスクの低減に焦点を当てています。信頼できないソースからの PDF ドキュメントを開かないことを強くお勧めします。ファイルの添付ファイルをスキャンするシステムを実装することで、潜在的に悪意のあるドキュメントを識別するのに役立ちます。外部ソースとやり取りする API の使用を制限することが重要です。PDF 処理中のシステムパフォーマンスとメモリを監視することで、スタックの枯渇の兆候を検出するのに役立ちます。公式な修正プログラムがリリースされたら、Foxit PDF Editor のより新しいバージョンへのアップグレードを検討してください。

修正方法翻訳中…

Actualice Foxit PDF Editor a la última versión disponible. Consulte el boletín de seguridad de Foxit para obtener más detalles e instrucciones específicas de actualización.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-3778 とは何ですか？（Foxit PDF Editor）

これは、PDF 内のオブジェクトが、直接的または間接的に自分自身を参照し、無限ループを作成する状況です。

Foxit PDF Editor の CVE-2026-3778 による影響を受けていますか？

メモリの枯渇とアプリケーションのクラッシュにつながる可能性があり、攻撃者がサービス拒否を引き起こす可能性があります。

Foxit PDF Editor の CVE-2026-3778 を修正するにはどうすればよいですか？

現在、CVE-2026-3778 の公式な修正プログラムは利用できません。

CVE-2026-3778 は積極的に悪用されていますか？

信頼できないソースからのドキュメントを開かないでください。添付ファイルをスキャンし、PDF を処理する API の使用を制限してください。

CVE-2026-3778 に関する Foxit PDF Editor の公式アドバイザリはどこで確認できますか？

システムパフォーマンスとメモリを監視します。メモリ使用量の急激な増加は、攻撃を示している可能性があります。