Boletín de seguridad de Adobe

Actualizaciones de seguridad disponibles para Adobe Connect | APSB17-35

ID del boletín

Fecha de publicación

Prioridad

APSB17-35

14 de noviembre de 2017

3

Resumen

Adobe ha publicado una actualización de seguridad para Adobe Connect. Esta actualización soluciona una vulnerabilidad crítica de falsificación de solicitud del servidor (SSRF) (CVE-2017-11291) que podría ser utilizada incorrectamente para saltarse el control de acceso de la red. Esta actualización también resuelve tres vulnerabilidades de validación de entrada calificadas como importantes (CVE-2017-11287, CVE-2017-11288 y CVE-2017-11289) que se podrían utilizar en ataques mediante secuencias de comandos en sitios cruzados reflejados. Por último, esta actualización ofrece una función que permite a los administradores de Connect proteger a los usuarios contra los ataques de redirección de la interfaz del usuario (o "clickjacking") (CVE-2017-11290).

Versión afectada del producto

Producto

Versión

Plataforma

Adobe Connect

9.6.2 y versiones anteriores

Todas

Solución

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:

Producto

Versión

Plataforma

Prioridad

Disponibilidad

Adobe Connect

9.7

Todas

3

Nota:

Adobe Connect 9.7 se presenta en las siguientes fases:
Servicios alojados: a partir del 10 de noviembre del 2017. Consulta la programación de migración de tu cuenta en esta página.
Implementaciones in situ: a partir del 17 de noviembre del 2017.
Servicios gestionados: ponte en contacto con el representante de servicios gestionados de Adobe Connect para programar la actualización.

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad

Impacto de la vulnerabilidad

Gravedad

Número CVE

Falsificación de solicitud del servidor (SSRF)

Evasión del control de acceso de la red

Crítico

CVE-2017-11291

Ataques mediante secuencias de comandos en sitios cruzados reflejados

Divulgación de información

Importante

CVE-2017-11287

Ataques mediante secuencias de comandos en sitios cruzados reflejados

Divulgación de información

Importante

CVE-2017-11288

Ataques mediante secuencias de comandos en sitios cruzados reflejados

Divulgación de información

Importante

CVE-2017-11289

Redirección de la interfaz del usuario (o "clickjacking")

Divulgación de información

Importante

CVE-2017-11290

Reconocimientos

Adobe desea dar las gracias a las siguientes personas por informar sobre estos problemas y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:

  • Adam Willard de Blue Canopy (CVE-2017-11289)
  • Alexis Laborier (CVE-2017-11287)
  • Pedro Cardoso (CVE-2017-11288)
  • Deniz Cevik de Biznet Bilisim A.S (CVE-2017-11291)
Logotipo de Adobe

Inicia sesión en tu cuenta