Bulletin-ID
Sist oppdatert
23. des. 2024
Sikkerhetsoppdatering tilgjengelig for Adobe Connect | APSB24-99
|
|
Publiseringsdato |
Prioritet |
|---|---|---|
|
APSB24-99 |
10. desember 2024 |
3 |
Sammendrag
Adobe har lansert sikkerhetsoppdateringer for Adobe Connect. Denne oppdateringen løser kritiske, viktige og moderate sikkerhetsproblemer. Vellykket utnyttelse kunne føre til vilkårlig kodeutførelse, eskalering av rettigheter og omgåelse av sikkerhetsfunksjon.
Adobe kjenner ikke til aktiv utnyttelse av noen av problemene som løses av disse oppdateringene.
Berørte produktversjoner
|
Produkt |
Versjon |
Plattform |
|---|---|---|
|
Adobe Connect |
12.6 og tidligere versjoner |
Alle |
|
Adobe Connect |
11.4.7 og tidligere versjoner |
Alle |
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukere oppdaterer installasjonen til den nyeste versjonen.
|
Produkt |
Versjon |
Plattform |
Prioritet |
Tilgjengelighet |
|---|---|---|---|---|
|
Adobe Connect |
12.7 |
Alle |
3 |
|
|
Adobe Connect |
11.4.9 |
Alle |
3 |
Informasjon om sikkerhetsproblemet
|
Sikkerhetsproblemkategori |
Sikkerhetsprobleminnvirkning |
Alvorlighetsgrad |
CVSS-grunnscore |
CVE-nummer |
|
|---|---|---|---|---|---|
|
Skriping på tvers av nettsteder (Reflektert XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Kritisk |
9,3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N |
CVE-2024-54032 |
|
Skriping på tvers av nettsteder (Reflektert XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Kritisk |
8.0 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N |
CVE-2024-54034 |
|
Upassende autorisasjon (CWE-285) |
Rettighetsutvidelse |
Kritisk |
7.3 |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L |
CVE-2024-54035 |
|
Skriping på tvers av nettsteder (Reflektert XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Kritisk |
9,3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N |
CVE-2024-54036 |
|
Skriping på tvers av nettsteder (Reflektert XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Kritisk |
7.3 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:N |
CVE-2024-54037 |
|
Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-54039 |
|
Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig |
6.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-49550 |
|
Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79) |
Vilkårlig kjøring av kode |
Viktig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-54040 |
|
Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-54041 |
|
Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-54042 |
|
Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79) |
Vilkårlig kjøring av kode |
Viktig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-54043 |
|
Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2024-54044 |
|
Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79) |
Vilkårlig kjøring av kode |
Viktig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2024-54045 |
|
Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2024-54046 |
|
Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79) |
Vilkårlig kjøring av kode |
Viktig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2024-54047 |
|
Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2024-54048 |
|
Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79) |
Vilkårlig kjøring av kode |
Viktig |
6.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-54049 |
|
URL-omdirigering til uklarert nettsted («åpne omdirigering») (CWE-601) |
Omgåelse av sikkerhetsfunksjon |
Moderat |
3.1 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2024-54050 |
|
URL-omdirigering til uklarert nettsted («åpne omdirigering») (CWE-601) |
Omgåelse av sikkerhetsfunksjon |
Moderat |
3.1 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2024-54051 |
|
Feil tilgangskontroll (CWE-284) |
Omgåelse av sikkerhetsfunksjon |
Moderat |
4.3 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-54038 |
Anerkjennelser:
Anerkjennelser
Adobe takker følgende forskere for at de rapporterte disse problemene, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte kundene våre:
- lpi – CVE-2024-54040, CVE-2024-54041, CVE-2024-54042, CVE-2024-54043, CVE-2024-54044, CVE-2024-54045, CVE-2024-54046, CVE-2024-54047, CVE-2024-54048
- Laish (a_l) – CVE-2024-54035, CVE-2024-54036, CVE-2024-54037, CVE-2024-54051
- Naaash – CVE-2024-54032, CVE-2024-54038
- fekirineakira (djallalakira) – CVE-2024-49550
- Surajjj (ninetynine) – CVE-2024-54034
- Charlie (moopinger) – CVE-2024-54039
- Jorge Cerezo (zere) – CVE-2024-54049
- Daniel Ferreira (ferreiraklet_) og Leonardo Campos (foorw1nner) – CVE-2024-54050
MERK: Adobe har et offentlig bug-bounty-program med HackerOne. Hvis du er interessert i å jobbe med Adobe som en ekstern sikkerhetsforsker, kan du sjekke ut https://hackerone.com/adobe
Revisjoner
10. desember 2024 – CVE-2024-54033 og CVE-2024-54052 fjernet.
10. desember 2024 – CVE-2024-54050 kreditert som "Daniel Ferreira (ferreiraklet_) og Leonardo Campos (foorw1nner)"
Du finner mer informasjon under https://helpx.adobe.com/no/security.html, eller send en e-post til PSIRT@adobe.com.
