dajneem23/CVE-2026-25940

# CVE-2026-25940 jsPDF PoC CVE-2026-25940 的概念验证，演示了特制的 AcroForm 单选按钮外观如何在易受攻击的 PDF 查看器（例如 Foxit）中触发嵌入式 JavaScript。该仓库包含一个基于 Node 的生成器和一个浏览器查看器辅助工具，用于测试不同的解析路径。 ## 仓库内容 - [poc.js](poc.js)：生成一个包含多个单选按钮选项和不同外观流的恶意 PDF，以展示不同的行为。 - [viewer.html](viewer.html)：最小化的查看器辅助工具，用于在浏览器中生成 PoC 或加载现有样本，并分别通过原生方式（iframe）和 PDF.js 进行渲染。 - [package.json](package.json)：声明了 Node PoC 的 jsPDF 依赖。 ## 前置条件 - Node.js 18+ 和 npm。 ## 设置 1. 安装依赖： npm install 2. （可选）在本地启动服务器以便更干净地加载 HTML/JS： npx http-server . # 然后打开 http://localhost:8080/viewer.html ## 通过 Node 生成 PoC PDF 1. 运行生成器： node poc.js 2. 脚本会在项目根目录下写入 `test.pdf`。使用目标 PDF 查看器打开它以观察行为。如果希望避免出站请求，请保持网络阻断。 ## 基于浏览器的查看器工作流程 1. 直接在浏览器中打开 [viewer.html](viewer.html) 或通过本地服务器打开。 2. 点击 **Generate PoC PDF** 在浏览器中构建恶意文档，并将其加载到 iframe（原生/浏览器处理程序）和 PDF.js canvas 中。 3. 或者，选择 **Load file** 并选择您使用 Node 脚本生成的 PDF。 4. 监视控制台/网络活动以查找 JavaScript 执行的证据；某些查看器可能会抑制警报，但仍运行嵌入式操作。 ## 注意事项 - Payload 针对 Foxit 行为进行了调整；其他查看器可能会部分缓解或阻止它们。 - 如果您调整 Payload，请保持大小相似，以避免更改某些漏洞利用链所依赖的对象偏移量。 - 务必在具有受限网络出口的虚拟机或沙箱中进行测试。

标签：0day, AcroForm, CMS安全, CVE-2026-25940, Foxit Reader, Github安全, GNU通用公共许可证, Go语言工具, JavaScript, jsPDF, MITM代理, Node.js, PDF.js, PDF漏洞, PoC, XSS, 代码执行, 后端开发, 后端开发, 多模态安全, 客户端攻击, 恶意PDF, 搜索语句（dork）, 数据可视化, 暴力破解, 漏洞复现, 漏洞情报, 网络安全, 隐私保护