Référence du bulletin
Dernière mise à jour le
17 juin 2026
Mises à jour de sécurité disponible pour le SDK Content Credentials | APSB26-61
|
|
Date de publication |
Priorité |
|
APSB26-61 |
9 juin 2026 |
3 |
Synthèse
Adobe a publié des mises à jour de sécurité pour le SDK Content Authenticity. Cette mise à jour corrige des vulnérabilités critiques et importantes susceptibles d'entraîner l'écriture arbitraire dans le système de fichiers et le déni de service sur des applications.
Adobe n’a pas connaissance d’exploitations dans la nature des problèmes traités dans ces mises à jour.
Versions concernées
| Produit | Versions affectées | Plate-forme |
|---|---|---|
| SDK JS Content Credentials | @contentauth/c2pa-web@0.7.1 et antérieures | Windows, macOS, Linux, iOS, Android |
| SDK Rust Content Credentials | c2pa-v0.80.1 et antérieures | Windows, macOS, Linux, iOS, Android |
Solution
Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :
| Produit | Mise à jour | Plate-forme | Priorité | Disponibilité |
|---|---|---|---|---|
| SDK JS Content Credentials |
@contentauth/c2pa-web@0.8.3 | Windows, macOS, Linux, iOS, Android | 3 | Notes de mise à jour |
| SDK Rust Content Credentials | c2pa-v0.85.1 | Windows, macOS, Linux, iOS, Android | 3 | Notes de mise à jour |
Détails concernant la vulnérabilité
| Catégorie de vulnérabilité | Impact de la vulnérabilité | Gravité | Score de base CVSS | Vecteur CVSS | Référence CVE |
| Dépassement d’entier ou arrondi (CWE-190) | Déni de service d’application | Critique | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34711 |
| Validation d’entrée incorrecte (CWE-20) | Déni de service d’application | Critique | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34712 |
| Consommation incontrôlée de ressources (CWE-400) | Déni de service d’application | Critique | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34713 |
| Consommation incontrôlée de ressources (CWE-400) | Déni de service d’application | Importante | 6.2 | CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-47902 |
| Validation d’entrée incorrecte (CWE-20) | Déni de service d’application | Importante | 6.2 | CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-47903 |
| Consommation incontrôlée de ressources (CWE-400) | Déni de service d’application | Importante | 6.2 | CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-47904 |
| Consommation incontrôlée de ressources (CWE-400) | Déni de service d’application | Importante | 6.2 | CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-47905 |
| Limitation incorrecte d’un nom de chemin d’accès à un répertoire restreint (Path Traversal) (CWE-22) | Écriture arbitraire dans le système de fichiers | Importante | 5.5 | CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:N | CVE-2026-34657 |
Remerciements
Adobe tient à remercier les chercheurs suivants pour avoir signalé ce problème et joint leurs efforts aux nôtres pour protéger nos clients.
- bau1u - CVE-2026-34712, CVE-2026-34713, CVE-2026-47902, CVE-2026-47903, CVE-2026-47904, CVE-2026-47905
- exploitguru101 - CVE-2026-34711
- Amirul Akmal Bin Amiruddin (m411) - CVE-2026-34657
REMARQUE : Adobe dispose d’un programme public de prime aux bogues avec HackerOne. Si vous souhaitez travailler avec Adobe en tant que chercheur externe en sécurité, rendez-vous sur : https://hackerone.com/adobe.
Pour plus d’informations, visitez https://helpx.adobe.com/fr/security.html ou envoyez un e-mail à PSIRT@adobe.com
Recevez de l’aide plus rapidement et plus facilement
Nouvel utilisateur ?