Bezpečnostní bulletin společnosti Adobe

Hledat

Naposledy aktualizováno 28. 11. 2023

Zveřejnění opravy zabezpečení pro RoboHelp Server  | APSB23-53

ID bulletinu	Datum zveřejnění	Priorita
ASPB23-53	14. listopadu 2023	3

Shrnutí

Společnost Adobe zveřejnila aktualizaci zabezpečení pro RoboHelp Server. Tato aktualizace řeší zranitelnosti hodnocené jako kritické a důležité. Úspěšné zneužití této chyby by mohlo vést ke svévolnému spuštění kódu a úniku paměti v kontextu aktuálního uživatele.

Postižené verze

Produkt	Dotčené verze	Platforma
RoboHelp Server	Verze RHS 11.4 a starší verze	Windows

Řešení

Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi: 

Produkt	Verze	Platforma	Úroveň priority	Dostupnost
RoboHelp Server	RHS 11 Update 5 (11.5)	Windows	3	Poznámky k verzi

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení	Dopad chyby zabezpečení	Závažnost	Základní hodnocení CVSS	Vektor CVSS	Čísla CVE
Expozice informací (CWE-200)	Únik paměti	Kritická	7.5	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N	CVE-2023-22272
Nesprávné omezení názvu cesty do omezeného adresáře („Procházení cesty“) (CWE-22)	Svévolné spuštění kódu	Kritická	7,2	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H	CVE-2023-22273
Nesprávné omezení reference na externí entitu XML („XXE“) (CWE-611)	Únik paměti	Kritická	8.2	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L	CVE-2023-22274
Nesprávná neutralizace speciálních prvků použitých v příkazu SQL („injekce příkazu SQL“) (CWE-89)	Únik paměti	Kritická	7.5	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N	CVE-2023-22275
Nesprávná neutralizace speciálních prvků použitých v příkazu SQL („injekce příkazu SQL“) (CWE-89)	Únik paměti	Důležitá	6.5	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N	CVE-2023-22268

Poděkování

Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím výzkumníkům:    

Anonymní uživatel spolupracující v rámci iniciativy Zero Day Initiative společnosti Trend Micro – CVE-2023-22272, CVE-2023-22273, CVE-2023-22274, CVE-2023-22275, CVE-2023-22268

POZNÁMKA: Společnost Adobe má ve spolupráci se společnosti HackerOne soukromý program Bug Bounty, který je k dispozici pouze pro pozvané. Pokud máte zájem o spolupráci se společností Adobe jako externí výzkumník v oblasti zabezpečení a chcete vědět, jak dál postupovat, vyplňte tento formulář.

Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adresu PSIRT@adobe.com.

Získejte pomoc rychleji a snáze

Nový uživatel?