Actualizaciones de seguridad disponibles para Adobe Connect | APSB18-22
ID del boletín Fecha de publicación Prioridad
APSB18-22 10 de julio de 2018 2

Resumen

Adobe ha publicado una actualización de seguridad para Adobe Connect.Esta actualización soluciona a una vulnerabilidad importante de omisión de autenticación (CVE-2018-4994) que podría llegar a ocasionar la divulgación de información confidencial.También soluciona una vulnerabilidad importante de administración de sesiones causada por validaciones incorrectas de tokens de sesión de Connect Meetings.Por último, el instalador de complementos de Connect anterior a la versión 9.7 carga archivos DLL de forma no segura, que se podrían utilizar para escalar privilegios locales.

Versión afectada del producto

Producto Versión Plataforma
Adobe Connect 9.7.5 y versiones anteriores Todas

Solución

Adobe clasifica estas actualizaciones siguiendo este orden de prioridad y recomienda a los usuarios que actualicen el programa a la versión más reciente:

Producto Versión Plataforma Prioridad Disponibilidad
Adobe Connect 9.8.1 Todas 2 Nota de la versión

Nota: Como se ha mencionado previamente en APSB18-18, hay una mitigación de la vulnerabilidad CVE-2018-4994 disponible para los clientes. Deben modificar los filtros de Tomcat para evitar el acceso remoto a los archivos de configuración del sistema.Consulte este documento de ayuda para obtener más detalles.La versión 9.8.1 incluye este cambio de configuración en los ajustes predeterminados.

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad Impacto de la vulnerabilidad Gravedad Número CVE
Omisión de autenticación Divulgación de información confidencial Importante CVE-2018-4994
Omisión de autenticación Secuestro de sesión Importante CVE-2018-12804
Carga de biblioteca no segura Escalación de privilegios Moderado CVE-2018-12805

Nota: CVE-2018-12805 se ha solucionado en la versión 9.7 del instalador de complementos de Connect.  

Reconocimientos

Adobe desea dar las gracias a las siguientes personas y organizaciones por informar de problemas relevantes y por colaborar con Adobe para proteger a nuestros clientes:

  • Tanner LLC (CVE-2018-4994)

  • BlackWingCat (CVE-2018-12805)