first commit

2025-09-06 16:08:15 +08:00
commit 63285f61aa
2624 changed files with 88491 additions and 0 deletions
--- a/pdfjs/CVE-2024-4367/README.zh-cn.md
+++ b/pdfjs/CVE-2024-4367/README.zh-cn.md
@@ -0,0 +1,25 @@
+# PDF.js 任意JavaScript代码执行（CVE-2024-4367）
+
+PDF.js是Mozilla推出的一款开源PDF文件阅读器。
+
+其4.1.392版本及以前，PDF.js中存在一处JavaScript代码注入漏洞。
+
+参考链接：
+
+- <https://codeanlabs.com/blog/research/cve-2024-4367-arbitrary-js-execution-in-pdf-js/>
+
+## 漏洞环境
+
+执行如下命令启动一个使用了PDF.js 4.1.392的服务器：
+
+```
+docker compose up -d
+```
+
+服务启动后，访问`http://your-ip:8080`你可以看到一个上传页面。
+
+## 漏洞复现
+
+上传恶意PDF文件[poc.pdf](poc.pdf)，即可触发XSS弹窗：
+
+![](1.png)