【漏洞详情】

平安金融云安全团队监测到Artifex Software Ghostscript 存在远程命令执行漏洞（CVE-2019-14811）。由于.pdf_hook_DSC_Creator 中存在.forceput操作符可以实现“-dSAFER”安全沙箱绕过，攻击者可通过提交精心构造的PostScript文件关闭安全保护，从而访问文件系统或执行远程命令，同时此漏洞的EXP已被公开，建议受影响的用户尽快升级。

【风险评级】

高危

【影响范围】

Artifex Software Ghostscript < 9.28

【修复建议】

目前厂商已发布升级补丁以修复漏洞，建议受影响用户综合评估漏洞风险和业务影响，下载并升级相关补丁。

补丁下载地址：http://git.ghostscript.com/?p=ghostpdl.git;a=commitdiff;h=885444fcbe10dc42787ecb76686c8ee4dd33bf33

【参考链接】

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201908-2179

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安金融云

2019年9月12日