Bulletin-ID
Sicherheits-Hotfix für RoboHelp Server verfügbar | APSB23-53
|
Veröffentlichungsdatum |
Priorität |
---|---|---|
ASPB23-53 |
14. November 2023 |
3 |
Zusammenfassung
Betroffene Versionen
Produkt |
Betroffene Version |
Plattform |
RoboHelp Server |
RHS11.4 und frühere Versionen |
Windows |
Lösung
Adobe bewertet die Priorität dieser Updates wie folgt und empfiehlt Anwendern ein Update ihrer Installation auf die neueste Version:
Produkt |
Version |
Plattform |
Priorität |
Verfügbarkeit |
RoboHelp Server |
RHS 11 Update 5 (11.5) |
Windows |
3 |
Sicherheitslückendetails
Sicherheitslückenkategorie |
Sicherheitslückenauswirkung |
Problemstufe |
CVSS-Basispunktzahl |
CVE-Nummern |
|
---|---|---|---|---|---|
Informationsexposition (CWE-200) |
Speicherverlust |
Kritisch |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-22272 |
Unzulässige Beschränkung eines Pfadnamens auf ein eingeschränktes Verzeichnis („Pfadübergang“) (CWE-22) |
Willkürliche Ausführung von Code |
Kritisch |
7,2 |
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
CVE-2023-22273 |
Nicht ordnungsgemäße Eingrenzung externer XML-Entitätsreferenzen ('XXE') (CWE-611) |
Speicherverlust |
Kritisch |
8.2 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L |
CVE-2023-22274 |
Unsachgemäße Neutralisierung spezieller Elemente, die in einem SQL-Befehl verwendet werden ('SQL Injection') (CWE-89) |
Speicherverlust |
Kritisch |
7.5 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-22275 |
Unsachgemäße Neutralisierung spezieller Elemente, die in einem SQL-Befehl verwendet werden ('SQL Injection') (CWE-89) |
Speicherverlust |
Wichtig |
6.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-22268 |
Danksagung
Adobe bedankt sich bei den folgenden Forschern für das Melden dieser Schwachstellen und für die Zusammenarbeit mit Adobe zum Schutz der Sicherheit unserer Kunden:
- Anonym arbeitet mit Trend Micro Zero Day Initiative - CVE-2023-22272, CVE-2023-22273, CVE-2023-22274, CVE-2023-22275, CVE-2023-22268
HINWEIS: Adobe hat ein privates, nur für Einladungen bestimmtes Bug-Bounty-Programm mit HackerOne. Wenn Sie an einer Zusammenarbeit mit Adobe als externer Sicherheitsforscher interessiert sind, füllen Sie bitte dieses Formular aus, um die nächsten Schritte einzuleiten.
Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com.