Bulletin-id
Laatst bijgewerkt op
23 dec. 2024
Beveiligingsupdate beschikbaar voor Adobe Connect| APSB24-99
|
|
Publicatiedatum |
Prioriteit |
|---|---|---|
|
APSB24-99 |
10 december 2024 |
3 |
Samenvatting
Adobe heeft een beveiligingsupdate uitgebracht voor Adobe Connect. Deze update verhelpt kritieke, belangrijke en matige kwetsbaarheden. Succesvolle exploitatie kan leiden tot het uitvoeren van een willekeurige code, de escalatie van bevoegdheden en het omzeilen van beveiligingsfuncties.
Adobe is zich er niet van bewust dat de in deze updates behandelde problemen door onbevoegden worden misbruikt.
Van toepassing op de volgende productversies
|
Product |
Versie |
Platform |
|---|---|---|
|
Adobe Connect |
12.6 en eerdere versies |
Alles |
|
Adobe Connect |
11.4.7 en eerdere versies |
Alles |
Oplossing
Adobe categoriseert deze updates volgens de volgende beoordelingen van prioriteit en raadt gebruikers aan de installatie te updaten naar de nieuwste versie.
|
Product |
Versie |
Platform |
Prioriteit |
Beschikbaarheid |
|---|---|---|---|---|
|
Adobe Connect |
12.7 |
Alles |
3 |
|
|
Adobe Connect |
11.4.9 |
Alles |
3 |
Details van kwetsbaarheid
|
Categorie van kwetsbaarheid |
Impact van kwetsbaarheid |
Ernst |
CVSS-basisscore |
CVE-nummer |
|
|---|---|---|---|---|---|
|
Cross-site Scripting (gereflecteerde XSS) (CWE-79) |
Willekeurige code-uitvoering |
Kritiek |
9.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N |
CVE-2024-54032 |
|
Cross-site Scripting (gereflecteerde XSS) (CWE-79) |
Willekeurige uitvoering van een code |
Kritiek |
8.0 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N |
CVE-2024-54034 |
|
Onjuiste autorisatie (CWE-285) |
Bevoegdhedenescalatie |
Kritiek |
7.3 |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L |
CVE-2024-54035 |
|
Cross-site Scripting (gereflecteerde XSS) (CWE-79) |
Willekeurige uitvoering van een code |
Kritiek |
9.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N |
CVE-2024-54036 |
|
Cross-site Scripting (gereflecteerde XSS) (CWE-79) |
Willekeurige code-uitvoering |
Kritiek |
7.3 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:N |
CVE-2024-54037 |
|
Cross-site Scripting (gereflecteerde XSS) (CWE-79) |
Willekeurige code-uitvoering |
Belangrijk |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-54039 |
|
Cross-site Scripting (gereflecteerde XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk |
6.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2024-49550 |
|
Cross-site Scripting (gereflecteerde XSS) (CWE-79) |
Willekeurige code-uitvoering |
Belangrijk |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-54040 |
|
Cross-site Scripting (gereflecteerde XSS) (CWE-79) |
Willekeurige code-uitvoering |
Belangrijk |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-54041 |
|
Cross-site Scripting (gereflecteerde XSS) (CWE-79) |
Willekeurige code-uitvoering |
Belangrijk |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-54042 |
|
Cross-site Scripting (gereflecteerde XSS) (CWE-79) |
Willekeurige code-uitvoering |
Belangrijk |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-54043 |
|
Cross-site Scripting (gereflecteerde XSS) (CWE-79) |
Willekeurige code-uitvoering |
Belangrijk |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2024-54044 |
|
Cross-site Scripting (gereflecteerde XSS) (CWE-79) |
Willekeurige code-uitvoering |
Belangrijk |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2024-54045 |
|
Cross-site Scripting (gereflecteerde XSS) (CWE-79) |
Willekeurige code-uitvoering |
Belangrijk |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2024-54046 |
|
Cross-site Scripting (gereflecteerde XSS) (CWE-79) |
Willekeurige code-uitvoering |
Belangrijk |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2024-54047 |
|
Cross-site Scripting (gereflecteerde XSS) (CWE-79) |
Willekeurige code-uitvoering |
Belangrijk |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2024-54048 |
|
Cross-site Scripting (gereflecteerde XSS) (CWE-79) |
Willekeurige code-uitvoering |
Belangrijk |
6.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2024-54049 |
|
URL-omleiding naar niet-vertrouwde site (Open omleiding) (CWE-601) |
Omzeiling van beveiligingsfunctie |
Matig |
3.1 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2024-54050 |
|
URL-omleiding naar niet-vertrouwde site (Open omleiding) (CWE-601) |
Omzeiling van beveiligingsfunctie |
Gemiddeld |
3.1 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2024-54051 |
|
Onjuist toegangsbeheer (CWE-284) |
Omzeiling van beveiligingsfunctie |
Matig |
4.3 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-54038 |
Dankbetuigingen:
Dankbetuigingen
Adobe bedankt de volgende onderzoekers voor het melden van deze problemen en het samenwerken met Adobe om onze klanten te helpen beschermen:
- lpi - CVE-2024-54040, CVE-2024-54041, CVE-2024-54042, CVE-2024-54043, CVE-2024-54044, CVE-2024-54045, CVE-2024-54046, CVE-2024-54047, CVE-2024-54048
- Laish (a_l) - CVE-2024-54035, CVE-2024-54036, CVE-2024-54037, CVE-2024-54051
- Naaash - CVE-2024-54032, CVE-2024-54038
- fekirineakira (djallalakira) - CVE-2024-49550
- Surajjj (ninetynine) - CVE-2024-54034
- Charlie (moopinger) - CVE-2024-54039
- Jorge Cerezo (zere) - CVE-2024-54049
- Daniel Ferreira (ferreiraklet_) en Leonardo Campos (foorw1nner) - CVE-2024-54050
OPMERKING: Adobe heeft een openbaar bug bounty-programma met HackerOne. Als u geïnteresseerd bent in een samenwerking met Adobe als externe beveiligingsonderzoeker, kijk dan hier: https://hackerone.com/adobe
Revisies
10 december 2024: CVE-2024-54033 en CVE-2024-54052 verwijderd.
10 december 2024: CVE-2024-54050 toegeschreven aan "Daniel Ferreira (ferreiraklet_) en Leonardo Campos (foorw1nner)"
Ga voor meer informatie naar https://helpx.adobe.com/nl/security.html of stuur een e-mail naar PSIRT@adobe.com.
