Netcrook Logo
👤 SECPULSE
🗓️ 18 Feb 2026  

Panico PDF: le principali piattaforme PDF online smascherate da una caccia alle vulnerabilità guidata dall’IA

Gravi falle nei servizi PDF di Foxit e Apryse avrebbero potuto consentire agli hacker di dirottare account e rubare dati sensibili - finché una startup di sicurezza discreta non è intervenuta.

È il tipo di scenario da incubo che tiene svegli i CISO la notte: l’umile visualizzatore PDF, incorporato in innumerevoli app aziendali, che nasconde silenziosamente una backdoor per gli aggressori. In una recente inchiesta, i ricercatori della startup cyber Novee hanno rivelato come anche le piattaforme PDF più affidabili possano trasformarsi in superfici d’attacco ad alto rischio - capaci di takeover degli account, furto di documenti e altro - grazie a una serie di vulnerabilità trascurate.

Fatti rapidi

  • Novee ha individuato 16 vulnerabilità di sicurezza nei prodotti PDF cloud di Foxit e Apryse.
  • Le falle includevano bug critici di XSS, SSRF, path traversal e command injection.
  • Gli aggressori avrebbero potuto dirottare account o esfiltrare dati tramite documenti o URL “armati”.
  • Entrambi i fornitori hanno corretto i problemi dopo la divulgazione responsabile da parte di Novee.
  • Gli exploit erano possibili con una singola richiesta, anche all’interno di domini di app aziendali considerati affidabili.

Dentro il collasso della sicurezza delle piattaforme PDF

Gli strumenti di visualizzazione e modifica dei PDF sono la spina dorsale dei flussi di lavoro dei documenti digitali, usati ovunque, dal legale alla finanza. Piattaforme come Foxit PDF Editor Cloud e Apryse WebViewer (ex PDFTron) promettono un’integrazione senza attriti nelle app web, offrendo funzionalità avanzate come annotazione, conversione e firma. Ma, come hanno rivelato i penetration test guidati dall’IA di Novee, la comodità può avere costi nascosti.

Novee, una startup di sicurezza appena uscita dalla modalità stealth con 51 milioni di dollari di finanziamenti, ha puntato l’attenzione sulla sicurezza di base di queste piattaforme. I suoi agenti IA hanno sondato sistematicamente alla ricerca di punti deboli, arrivando infine a esporre 16 vulnerabilità - da critiche a di media gravità. Le falle coprivano una ben nota galleria di “cattivi”: Cross-Site Scripting (XSS) basato su DOM e riflesso, Server-Side Request Forgery (SSRF), path traversal e perfino command injection a livello di sistema operativo (OS).

L’impatto? Negli scenari peggiori, gli aggressori avrebbero potuto creare PDF o URL malevoli che, una volta aperti in un visualizzatore vulnerabile, avrebbero permesso di eseguire codice arbitrario, dirottare account o sottrarre silenziosamente documenti sensibili. Particolarmente allarmante è stata la scoperta che diversi exploit non richiedevano altro che una singola richiesta e potevano essere attivati all’interno di domini già considerati affidabili dalle app aziendali - rendendo più difficile il rilevamento e potenzialmente enorme la portata dei danni.

Sia Foxit sia Apryse hanno risposto prontamente alla divulgazione responsabile di Novee, correggendo le vulnerabilità e rafforzando i propri processi di sicurezza. Foxit ha elogiato lo sforzo collaborativo di remediation, mentre Apryse ha evidenziato miglioramenti non solo nel codice, ma anche nella documentazione e nelle configurazioni predefinite.

Lezioni per i difensori - e un campanello d’allarme

Le scoperte di Novee sottolineano una dura verità per i difensori: anche componenti “a basso rischio” come i visualizzatori PDF incorporati possono trasformarsi in vettori d’attacco critici. Mentre le organizzazioni corrono per integrare potenti strumenti di terze parti, sono essenziali un controllo di sicurezza continuo e patch rapide. Altrimenti, la comodità di ieri potrebbe diventare il titolo della violazione di domani.

WIKICROOK

  • XSS (Cross: XSS (Cross-Site Scripting) è una falla di sicurezza web in cui gli aggressori iniettano script dannosi in siti considerati affidabili, mettendo a rischio dati e privacy degli utenti.
  • SSRF (Server: SSRF è una vulnerabilità in cui gli aggressori inducono un server a inviare richieste verso destinazioni non previste, potenzialmente esponendo dati sensibili o sistemi interni.
  • Path Traversal: Path Traversal è una falla di sicurezza in cui gli aggressori manipolano i percorsi dei file per accedere a file o dati al di fuori dei confini previsti di un sistema.
  • Command Injection: Command Injection è una vulnerabilità in cui gli aggressori ingannano i sistemi inducendoli a eseguire comandi non autorizzati inserendo input malevoli in campi o interfacce utente.
  • Responsible Disclosure: Responsible Disclosure è quando le falle di sicurezza vengono segnalate privatamente ai fornitori, consentendo loro di risolvere i problemi prima che le informazioni vengano rese pubbliche.
PDF Security Vulnerabilities Cyber Attack
SECPULSE SECPULSE
SOC Detection Lead
← Back to news