PDF Document Spoofing in DropBox Sign(HelloSign) 漏洞信息(CVE-2024-52270)

一、漏洞 CVE-2024-52270 基础信息

漏洞标题

DropBox Sign(HelloSign)中的PDF文档欺骗漏洞

来源：AIGC 神龙大模型

漏洞描述信息

DropBox Sign(HelloSign)中存在用户界面(UI)对关键信息表示不当的漏洞，允许内容欺骗。显示的版本没有展示合并后的版本，一旦下载后，如果打印（例如通过Google Chrome查看打印预览）：只会呈现漏洞部分，而不是所有图层都已合并。此问题影响DropBox Sign(HelloSign)，直至2024年12月4日。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

来源：AIGC 神龙大模型

漏洞类别

不当限制渲染UI层或帧

来源：AIGC 神龙大模型

漏洞标题

PDF Document Spoofing in DropBox Sign(HelloSign)

来源：美国国家漏洞数据库 NVD

漏洞描述信息

User Interface (UI) Misrepresentation of Critical Information vulnerability in DropBox Sign(HelloSign) allows Content Spoofing. Displayed version does not show the layer flattened version, once download, If printed (e.g. via Google Chrome -> Examine the print preview): Will render the vulnerability only, not all layers are flattened. This issue affects DropBox Sign(HelloSign): through 2024-12-04.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

关键信息的UI错误表达

来源：美国国家漏洞数据库 NVD

漏洞标题

DropBox Sign 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

DropBox Sign（DropBox HelloSign）是DropBox公司的一个发送、接收和管理具有法律约束力的电子签名。 DropBox Sign 2024-12-04及之前版本存在安全漏洞，该漏洞源于用户界面关键信息漏洞的错误陈述，允许内容欺骗。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2024-52270 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2024-52270 的情报信息

标题： Advisories -- 🔗来源链接

标签： vdb-entry
神龙速读
标题： DropBox Sign(HelloSign) - PDF Vulnerability -- 🔗来源链接

标签： exploit
标题： Loading… – new.space -- 🔗来源链接

标签： exploit
标题： Proton Drive -- 🔗来源链接

标签： exploit
标题： Dropbox Sign eSignature Agreements — Work Smarter - Dropbox -- 🔗来源链接

标签： product
标题： Log In | Dropbox Sign -- 🔗来源链接

标签： product
https://nvd.nist.gov/vuln/detail/CVE-2024-52270