Bulletin-ID
Sist oppdatert
15. jun. 2026
Sikkerhetsoppdateringer tilgjengelig for Content Credentials SDK | APSB26-61
|
|
Publiseringsdato |
Prioritet |
|
APSB26-61 |
9. juni 2026 |
3 |
Sammendrag
Adobe har utgitt sikkerhetsoppdateringer for Content Credentials SDK. Denne oppdateringen adresserer kritiske og viktige sårbarheter som kan føre til tjenestenekt for applikasjonen og vilkårlig skriving til filsystemet.
Adobe kjenner ikke til aktiv utnyttelse av noen av problemene som løses av disse oppdateringene.
Berørte versjoner
| Produkt | Berørt versjon | Plattform |
|---|---|---|
| Content Credentials JS SDK | @contentauth/c2pa-web@0.7.1 og tidligere | Windows, macOS, Linux, iOS, Android |
| Content Credentials Rust SDK | c2pa-v0.80.1 og tidligere | Windows, macOS, Linux, iOS, Android |
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifisering og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:
| Produkt | Oppdatert versjon | Plattform | Prioritet Klassifisering | Tilgjengelighet |
|---|---|---|---|---|
| Content Credentials JS SDK |
@contentauth/c2pa-web@0.8.3 | Windows, macOS, Linux, iOS, Android | 3 | Utgivelsesmerknader |
| Content Credentials Rust SDK | c2pa-v0.85.1 | Windows, macOS, Linux, iOS, Android | 3 | Utgivelsesmerknader |
Informasjon om sikkerhetsproblemet
| Sikkerhetsproblemkategori | Sikkerhetsprobleminnvirkning | Alvorlighetsgrad | CVSS grunnscore | CVSS-vektor | CVE-nummer |
| Heltallsoverflyt eller wraparound (CWE-190) | Tjenestenekt for program | Kritisk | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34711 |
| Feil inndatavalidering (CWE-20) | Tjenestenekt for program | Kritisk | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34712 |
| Ukontrollert ressursforbruk (CWE-400) | Tjenestenekt for program | Kritisk | 7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-34713 |
| Ukontrollert ressursforbruk (CWE-400) | Tjenestenekt for program | Viktig | 6.2 | CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-47902 |
| Feil inndatavalidering (CWE-20) | Tjenestenekt for program | Viktig | 6.2 | CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-47903 |
| Ukontrollert ressursforbruk (CWE-400) | Tjenestenekt for program | Viktig | 6.2 | CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-47904 |
| Ukontrollert ressursforbruk (CWE-400) | Tjenestenekt for program | Viktig | 6.2 | CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CVE-2026-47905 |
| Feil begrensning av banekrysning til en begrenset katalog (Path Traversal) (CWE-22) | Arbitrært filsystem-skriving | Viktig | 5.5 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N | CVE-2026-34657 |
Takk
Adobe takker følgende forskere for at de rapporterte disse problemene, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte kundene våre:
- bau1u - CVE-2026-34712, CVE-2026-34713, CVE-2026-47902, CVE-2026-47903, CVE-2026-47904, CVE-2026-47905
- exploitguru101 - CVE-2026-34711
- Amirul Akmal Bin Amiruddin (m411) - CVE-2026-34657
MERK: Adobe har et offentlig bug-bounty-program med HackerOne. Hvis du er interessert i å jobbe med Adobe som en ekstern sikkerhetsforsker, kan du sjekke oss her: https://hackerone.com/adobe.
For mer informasjon kan du besøke https://helpx.adobe.com/no/security.html eller sende en e-post til PSIRT@adobe.com
