Actualizaciones de seguridad disponibles para Adobe Connect | APSB17-35
ID del boletín Fecha de publicación Prioridad
APSB17-35 14 de noviembre de 2017 3

Resumen

Adobe ha publicado una actualización de seguridad para Adobe Connect. Esta actualización soluciona una vulnerabilidad crítica de falsificación de solicitud del servidor (SSRF) (CVE-2017-11291) que podría ser utilizada incorrectamente para saltarse el control de acceso de la red. Esta actualización también resuelve tres vulnerabilidades de validación de entrada calificadas como importantes (CVE-2017-11287, CVE-2017-11288 y CVE-2017-11289) que se podrían utilizar en ataques mediante secuencias de comandos en sitios cruzados reflejados. Por último, esta actualización ofrece una función que permite a los administradores de Connect proteger a los usuarios contra los ataques de redirección de la interfaz del usuario (o "clickjacking") (CVE-2017-11290).

Versión afectada del producto

Producto Versión Plataforma
Adobe Connect 9.6.2 y versiones anteriores Todas

Solución

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:

Producto Versión Plataforma Prioridad Disponibilidad
Adobe Connect 9.7 Todas 3 Nota de la versión

Nota:

Adobe Connect 9.7 se presenta en las siguientes fases:
Servicios alojados: a partir del 10 de noviembre del 2017. Consulta la programación de migración de tu cuenta en esta página.
Implementaciones in situ: a partir del 17 de noviembre del 2017.
Servicios gestionados: ponte en contacto con el representante de servicios gestionados de Adobe Connect para programar la actualización.

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad Impacto de la vulnerabilidad Gravedad Número CVE
Falsificación de solicitud del servidor (SSRF) Evasión del control de acceso de la red Crítico CVE-2017-11291
Ataques mediante secuencias de comandos en sitios cruzados reflejados Divulgación de información
Importante CVE-2017-11287
Ataques mediante secuencias de comandos en sitios cruzados reflejados Divulgación de información
Importante
CVE-2017-11288
Ataques mediante secuencias de comandos en sitios cruzados reflejados Divulgación de información Importante CVE-2017-11289
Redirección de la interfaz del usuario (o "clickjacking") Divulgación de información Importante CVE-2017-11290

Reconocimientos

Adobe desea dar las gracias a las siguientes personas por informar sobre estos problemas y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:

  • Adam Willard de Blue Canopy (CVE-2017-11289)
  • Alexis Laborier (CVE-2017-11287)
  • Pedro Cardoso (CVE-2017-11288)
  • Deniz Cevik de Biznet Bilisim A.S (CVE-2017-11291)