ID do boletim
Última atualização em
17 de jun de 2026
Atualizações de segurança disponíveis para o Content Credentials SDK | APSB26-61
|
|
Data de publicação |
Prioridade |
|
APSB26-61 |
9 de junho de 2026 |
3 |
Resumo
A Adobe lançou atualizações de segurança para o Content Credentials SDK. Essa atualização resolve vulnerabilidades críticas e importantes que podiam resultar na negação de serviço do aplicativo.
A Adobe não tem conhecimento de nenhuma exploração na Web de nenhum dos problemas abordados nestas atualizações.
Versões afetadas
| Produto | Versão afetada | Plataforma |
|---|---|---|
| Content Credentials JS SDK | @contentauth/c2pa-web@0.7.1 e anteriores | Windows, macOS, Linux, iOS, Android |
| Content Credentials Rust SDK | c2pa-v0.80.1 e anteriores | Windows, macOS, Linux, iOS, Android |
Solução
A Adobe classifica essas atualizações com a seguinte prioridade e recomenda que os usuários atualizem suas instalações para a versão mais recente:
| Produto | Versão atualizada | Plataforma | Classificação de prioridade | Disponibilidade |
|---|---|---|---|---|
| Content Credentials JS SDK |
@contentauth/c2pa-web@0.8.3 | Windows, macOS, Linux, iOS, Android | 3 | Notas de versão |
| Content Credentials Rust SDK | c2pa-v0.85.1 | Windows, macOS, Linux, iOS, Android | 3 | Notas de versão |
Detalhes da vulnerabilidade
| Categoria da vulnerabilidade | Impacto da vulnerabilidade | Severidade | Pontuação base de CVSS | Vetor CVSS | Número CVE |
| Estouro ou wraparound de inteiro (CWE-190) | Negação de serviço de aplicativo | Crítico | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34711 |
| Validação de entrada inadequada (CWE-20) | Negação de serviço de aplicativo | Crítico | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34712 |
| Consumo de recursos não controlado (CWE-400) | Negação de serviço de aplicativo | Crítico | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34713 |
| Consumo de recursos não controlado (CWE-400) | Negação de serviço de aplicativo | Importante | 6.2 | CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-47902 |
| Validação de entrada inadequada (CWE-20) | Negação de serviço de aplicativo | Importante | 6.2 | CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-47903 |
| Consumo de recursos não controlado (CWE-400) | Negação de serviço de aplicativo | Importante | 6.2 | CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-47904 |
| Consumo de recursos não controlado (CWE-400) | Negação de serviço de aplicativo | Importante | 6.2 | CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-47905 |
| Limitação incorreta de um nome de caminho para um diretório restrito ("Caminho transversal") (CWE-22) | Gravação arbitrária do sistema de arquivos | Importante | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N | CVE-2026-34657 |
Agradecimentos
A Adobe gostaria de agradecer aos seguintes pesquisadores por terem relatado esse problema e trabalhado com a Adobe para ajudar a proteger nossos clientes.
- bau1u - CVE-2026-34712, CVE-2026-34713, CVE-2026-47902, CVE-2026-47903, CVE-2026-47904, CVE-2026-47905
- exploitguru101 - CVE-2026-34711
- Amirul Akmal Bin Amiruddin (m411) - CVE-2026-34657
OBSERVAÇÃO: a Adobe tem um programa público de recompensa por erros com o HackerOne. Se você estiver interessado em trabalhar com a Adobe como pesquisador de segurança externo, consulte-nos aqui: https://hackerone.com/adobe.
Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com
