Adobe-Sicherheitsbulletin

Sicherheits-Hotfix für RoboHelp Server verfügbar  | APSB23-53

Bulletin-ID

Veröffentlichungsdatum

Priorität

ASPB23-53

14. November  2023     

3

Zusammenfassung

Adobe hat ein Sicherheits-Update für RoboHelp Server veröffentlicht. Dieses Update behebt Sicherheitslücken, die als kritisch und wichtig eingestuft wurden.  Eine erfolgreiche Ausnutzung könnte zur Ausführung von beliebigem Code und einem Speicherleck im Kontext des aktuellen Benutzers führen. 
  

Betroffene Versionen

Produkt

Betroffene Version

Plattform

RoboHelp Server

RHS11.4 und frühere Versionen

Windows 

Lösung

Adobe bewertet die Priorität dieser Updates wie folgt und empfiehlt Anwendern ein Update ihrer Installation auf die neueste Version:  

Produkt

Version

Plattform

Priorität

Verfügbarkeit

 

RoboHelp Server

RHS 11 Update 5 (11.5)

 

Windows

 

3

Sicherheitslückendetails

Sicherheitslückenkategorie

Sicherheitslückenauswirkung

Problemstufe

CVSS-Basispunktzahl 

CVE-Nummern

Informationsexposition (CWE-200)

Speicherverlust

Kritisch

7.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE-2023-22272
 

Unzulässige Beschränkung eines Pfadnamens auf ein eingeschränktes Verzeichnis („Pfadübergang“) (CWE-22)

Willkürliche Ausführung von Code

Kritisch

7,2

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

CVE-2023-22273

Nicht ordnungsgemäße Eingrenzung externer XML-Entitätsreferenzen ('XXE') (CWE-611)

Speicherverlust

Kritisch

8.2

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L

CVE-2023-22274

Unsachgemäße Neutralisierung spezieller Elemente, die in einem SQL-Befehl verwendet werden ('SQL Injection') (CWE-89)

Speicherverlust

Kritisch

7.5

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

CVE-2023-22275

Unsachgemäße Neutralisierung spezieller Elemente, die in einem SQL-Befehl verwendet werden ('SQL Injection') (CWE-89)

Speicherverlust

Wichtig

6.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

CVE-2023-22268

Danksagung

Adobe bedankt sich bei den folgenden Forschern für das Melden dieser Schwachstellen und für die Zusammenarbeit mit Adobe zum Schutz der Sicherheit unserer Kunden:    

  • Anonym arbeitet mit Trend Micro Zero Day Initiative  - CVE-2023-22272, CVE-2023-22273, CVE-2023-22274, CVE-2023-22275, CVE-2023-22268

HINWEIS: Adobe hat ein privates, nur für Einladungen bestimmtes Bug-Bounty-Programm mit HackerOne. Wenn Sie an einer Zusammenarbeit mit Adobe als externer Sicherheitsforscher interessiert sind, füllen Sie bitte dieses Formular aus, um die nächsten Schritte einzuleiten.


Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com.

 Adobe

Schneller und einfacher Hilfe erhalten

Neuer Benutzer?