16 failles zero-day dans des outils PDF cloud montrent pourquoi envoyer ses fichiers en ligne est risqué
Des chercheurs ont découvert 16 vulnérabilités dans Foxit et Apryse en février 2026, permettant vol de compte et exfiltration de données. La cause est le traitement serveur des fichiers.
VaultTools · 20 mars 2026
Table des matières
- Ce qui s’est passé
- Ce que les failles permettaient
- Pourquoi les outils PDF cloud portent ce risque structurellement
- Les outils en navigateur n’ont aucun serveur à attaquer
- Ce que les utilisateurs devraient faire maintenant
- Sources
Ce Qui S’est Passé
Le 18 février 2026, la société de sécurité Novee a publié une étude révélant 16 failles zero-day sur deux grandes plateformes PDF cloud : Foxit et Apryse (anciennement PDFTron). Novee a utilisé des agents d’intelligence artificielle entraînés sur des schémas de vulnérabilités connus pour analyser automatiquement les deux plateformes, découvrant au passage 13 catégories de vulnérabilités distinctes.
Le bilan : une faille critique et deux à haute sévérité dans Apryse WebViewer, deux à haute sévérité et onze à sévérité moyenne dans Foxit. Les deux éditeurs ont été notifiés par divulgation responsable et ont depuis publié des correctifs. Les CVE-2025-70402 et CVE-2025-70400 couvrent les failles Apryse les plus graves.
Foxit et Apryse ne sont pas des produits de niche. Ils comptent parmi les SDK PDF les plus déployés dans les logiciels d’entreprise. Leurs services cloud traitent les documents téléversés par des millions d’utilisateurs.
Ce Que Les Failles Permettaient
Les types de vulnérabilités ressemblent à une liste d’attaques côté serveur : XSS basé sur le DOM, XSS stocké et réfléchi, falsification de requête côté serveur (SSRF), traversée de répertoires et injection de commandes dans le système d’exploitation.
Plusieurs exploitations ne nécessitaient rien de plus qu’ouvrir un document malveillant ou visiter une URL craftée. Une attaque en un clic est aussi dangereuse qu’il n’y paraît : un utilisateur ouvre ce qui ressemble à un PDF ordinaire, et un attaquant obtient la capacité d’exfiltrer des données ou d’exécuter des commandes sur les serveurs backend de la plateforme. Aucun exploit du navigateur n’est requis. La vulnérabilité réside côté serveur, dans le traitement du fichier téléversé par l’utilisateur.
La prise de contrôle de compte et l’exfiltration de données ont toutes deux été démontrées comme des résultats réalistes. Pour une plateforme traitant des contrats, des documents financiers ou des dossiers médicaux, ces termes ont une portée considérable.
Pourquoi Les Outils PDF Cloud Portent Ce Risque Structurellement
Cette classe de vulnérabilités n’est pas un bug au sens ordinaire. C’est une conséquence de l’architecture. Lorsqu’un outil PDF traite des fichiers sur un serveur, ce serveur doit analyser des entrées complexes contrôlées par d’éventuels attaquants. Le PDF est l’un des formats de fichiers les plus complexes qui soient, avec JavaScript intégré, des métadonnées riches, une compression imbriquée et de multiples couches de codecs. Chaque analyseur syntaxique est une surface d’attaque.
Les failles de type SSRF, traversée de répertoires et injection de commandes supposent toutes qu’un serveur exécute du code au nom de l’utilisateur. Le XSS dans un visionneur de documents web existe parce qu’un serveur rend du contenu provenant d’un fichier téléversé. Supprimez le serveur de l’équation, et toute la catégorie de risque disparaît.
Ce ne sont pas des erreurs d’implémentation commises négligemment par Foxit ou Apryse. Ce sont le coût inhérent du traitement de fichiers en cloud à grande échelle.
Les Outils en Navigateur N’ont Aucun Serveur à Attaquer
Un outil PDF qui s’exécute entièrement dans le navigateur via WebAssembly ne reçoit jamais le fichier de l’utilisateur sur un serveur. Il n’y a pas de backend dans lequel injecter des commandes. Il n’y a pas de fichier stocké sur une infrastructure cloud. Il n’y a pas de session ou de compte qui puisse être détourné via un document malveillant.
Les 16 vulnérabilités divulguées par Novee sont toutes des vecteurs d’attaque côté serveur. Une architecture en navigateur les ferme toutes simultanément, non pas grâce à une meilleure ingénierie de sécurité, mais en éliminant totalement le composant de traitement côté serveur.
Ce n’est pas un avantage théorique. C’est une propriété structurelle : un attaquant ne peut pas exfiltrer un fichier d’un serveur qui ne l’a jamais reçu.
Ce Que Les Utilisateurs Devraient Faire Maintenant
Les utilisateurs des services cloud Foxit ou Apryse devraient vérifier qu’ils utilisent les dernières versions corrigées. Les deux éditeurs ont traité les vulnérabilités signalées à la suite de la divulgation responsable de Novee.
Plus généralement, toute personne traitant des documents sensibles (juridiques, financiers, médicaux ou personnels) via des outils en ligne basés sur le cloud devrait se poser une question avant de téléverser un fichier : où va ce fichier et qui peut y accéder ? La réponse est rarement aussi rassurante que les arguments marketing du service le laissent entendre.
Les outils en navigateur, où le traitement s’effectue sur le propre appareil de l’utilisateur, apportent une réponse plus nette : le fichier ne va nulle part.
Sources
- Vulnerabilities in Popular PDF Platforms Allowed Account Takeover, Data Exfiltration (SecurityWeek)
- Hacker-Trained AI Discovers 16 New 0-Day Vulnerabilities in PDF Engines (Novee)
- From PDF to Pwn: Scalable 0day Discovery in PDF Engines (Novee)
- Modern PDF Platforms Are Becoming High-Risk Attack Surfaces (SiliconANGLE)
- Multiple Zero-Day Flaws in PDF Platforms Enable XSS and One-Click Attacks (HackRead)
- 16 Zero-Day Vulnerabilities in Popular PDF Platforms Enable Code Execution and Data Exfiltration (CyberSecurityNews)
- Account Hijacking, Data Theft Likely with Foxit, Apryse Flaws (SC Media)
- 16 Zero-Day Vulnerabilities Found in Apryse and Foxit PDF Platforms (VPN Central)