ID bulletinu
Naposledy aktualizováno
23. 12. 2024
Zveřejnění aktualizace zabezpečení pro aplikaci Adobe Connect | APSB24-99
|
|
Datum zveřejnění |
Priorita |
|---|---|---|
|
APSB24-99 |
10. prosince 2024 |
3 |
Shrnutí
Společnost Adobe vydala aktualizaci zabezpečení pro aplikaci Adobe Connect. Tyto aktualizace řeší chyby zabezpečení označené jako kritické, důležité a středně důležité. Úspěšné zneužití těchto chyb by mohlo vést ke svévolnému spuštění kódu, zvýšení úrovně oprávnění a obcházení bezpečnostních funkcí.
Společnost Adobe neví o žádném zneužití chyb vyřešených v těchto aktualizací v reálném prostředí.
Dotčené verze produktu
|
Produkt |
Verze |
Platforma |
|---|---|---|
|
Adobe Connect |
12.6 a starší verze |
Vše |
|
Adobe Connect |
11.4.7 a starší verze |
Vše |
Řešení
Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi.
|
Produkt |
Verze |
Platforma |
Priorita |
Dostupnost |
|---|---|---|---|---|
|
Adobe Connect |
12.7 |
Vše |
3 |
|
|
Adobe Connect |
11.4.9 |
Vše |
3 |
Podrobnosti o chybě zabezpečení
|
Kategorie chyby zabezpečení |
Dopad chyby zabezpečení |
Závažnost |
Základní hodnocení CVSS |
Číslo CVE |
|
|---|---|---|---|---|---|
|
Skriptování mezi weby (reflektovaný XSS) (CWE-79) |
Svévolné spuštění kódu |
Kritická |
9.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N |
CVE-2024-54032 |
|
Skriptování mezi weby (reflektovaný XSS) (CWE-79) |
Svévolné spuštění kódu |
Kritická |
8.0 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N |
CVE-2024-54034 |
|
Neodpovídající ověření totožnosti (CWE-285) |
Eskalace oprávnění |
Kritická |
7.3 |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L |
CVE-2024-54035 |
|
Skriptování mezi weby (reflektovaný XSS) (CWE-79) |
Svévolné spuštění kódu |
Kritická |
9.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N |
CVE-2024-54036 |
|
Skriptování mezi weby (reflektovaný XSS) (CWE-79) |
Svévolné spuštění kódu |
Kritická |
7.3 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:N |
CVE-2024-54037 |
|
Skriptování mezi weby (reflektovaný XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-54039 |
|
Skriptování mezi weby (reflektovaný XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá |
6.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-49550 |
|
Skriptování mezi weby (reflektovaný XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-54040 |
|
Skriptování mezi weby (reflektovaný XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-54041 |
|
Skriptování mezi weby (reflektovaný XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-54042 |
|
Skriptování mezi weby (reflektovaný XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-54043 |
|
Skriptování mezi weby (reflektovaný XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2024-54044 |
|
Skriptování mezi weby (reflektovaný XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2024-54045 |
|
Skriptování mezi weby (reflektovaný XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2024-54046 |
|
Skriptování mezi weby (reflektovaný XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2024-54047 |
|
Skriptování mezi weby (reflektovaný XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2024-54048 |
|
Skriptování mezi weby (reflektovaný XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá |
6.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-54049 |
|
Přesměrování adresy URL na nedůvěryhodný server („Otevřené přesměrování“) (CWE-601) |
Obcházení bezpečnostních funkcí |
Střední |
3.1 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2024-54050 |
|
Přesměrování adresy URL na nedůvěryhodný server („Otevřené přesměrování“) (CWE-601) |
Obcházení bezpečnostních funkcí |
Střední |
3.1 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2024-54051 |
|
Nesprávné řízení přístupu (CWE-284) |
Obcházení bezpečnostních funkcí |
Střední |
4.3 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-54038 |
Poděkování:
Poděkování
Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím výzkumníkům:
- lpi – CVE-2024-54040, CVE-2024-54041, CVE-2024-54042, CVE-2024-54043, CVE-2024-54044, CVE-2024-54045, CVE-2024-54046, CVE-2024-54047, CVE-2024-54048
- Laish (a_l) ֪– CVE-2024-54035, CVE-2024-54036, CVE-2024-54037, CVE-2024-54051
- Naaash – CVE-2024-54032, CVE-2024-54038
- fekirineakira (djallalakira) – CVE-2024-49550
- Surajjj (ninetynine) – CVE-2024-54034
- Charlie (moopinger) – CVE-2024-54039
- Jorge Cerezo (zere) – CVE-2024-54049
- Daniel Ferreira (ferreiraklet_) a Leonardo Campos (foorw1nner) – CVE-2024-54050
POZNÁMKA: Společnost Adobe má ve spolupráci se společnosti HackerOne veřejný program Bug Bounty. Pokud máte zájem o spolupráci se společností Adobe jako externí výzkumník v oblasti zabezpečení, podívejte se na stránku https://hackerone.com/adobe.
Revize
10. prosince 2024 – Odebrání CVE-2024-54033 a CVE-2024-54052
10. prosince 2024 – Připsání zásluhy za CVE-2024-54050 výzkumníkům Daniel Ferreira (ferreiraklet_) a Leonardo Campos (foorw1nner)
Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adresu PSIRT@adobe.com.
