可用于 Adobe Campaign 的安全更新

发布日期:2017 年 2 月 14 日

漏洞标识符:APSB17-06

优先级:3

CVE 编号:CVE-2017-2968、CVE-2017-2969

平台:Windows 和 Linux

摘要

Adobe 已发布了适用于 Windows 和 Linux 的 Adobe Campaign v6.11 的安全更新。这项更新解决了影响 Adobe Campaign 客户端控制台的中级安全绕过。具有客户端控制台访问权限且经过身份验证的用户可上载和执行恶意文件,这可能会获取系统的读写权限 (CVE-2017-2968)。这项更新还解决了可用于跨站点脚本攻击的中级输入验证问题 (CVE-2017-2969)。

受影响的版本

产品 受影响的版本 平台
Adobe Campaign v6.11
16.4 内部版本 8724 及更早版本 Windows 和 Linux

解决方案

Adobe 按照以下优先级将更新分类,并建议用户将其安装的软件更新至最新版本:

产品 更新后的版本 平台 优先级 获取途径
Adobe Campaign v6.11 16.8 内部版本 8757 及更高版本
Windows 和 Linux 3 发行说明
  • 客户可以参阅常见问题解答,获取有关下载最新版本的说明。
  • 对于使用 Adobe Campaign 16.4 内部版本 8724 及更早版本的客户,请参阅文档页面,以获取通过限制文件上载类型来解决 CVE-2017-2968 的说明。
  • 请参阅本文档页面,获取升级 Adobe Campaign 服务器的帮助,参阅此文档页面获取升级客户端控制台的帮助。

漏洞详情

  • 这项更新解决了可能被具有客户端控制台访问权限且经过身份验证的用户所利用,影响 Adobe Campaign 的中级安全绕过。成功利用此绕过可能会获取系统的读写权限 (CVE-2017-2968)。
  • 这项更新解决了可用于跨站脚本攻击的中级输入验证问题 (CVE-2017-2969)。

鸣谢

Adobe 衷心感谢来自 NES 的 Léa NUEL 报告这些问题(CVE-2017-2968 和 CVE-2017-2969),并与 Adobe 一起帮助保护我们的客户。