Boletín de seguridad de Adobe

Adobe ha publicado una actualización de seguridad para Adobe Connect.Esta actualización soluciona a una vulnerabilidad importante de omisión de autenticación (CVE-2018-4994) que podría llegar a ocasionar la divulgación de información confidencial.También soluciona una vulnerabilidad importante de administración de sesiones causada por validaciones incorrectas de tokens de sesión de Connect Meetings.Por último, el instalador de complementos de Connect anterior a la versión 9.7 carga archivos DLL de forma no segura, que se podrían utilizar para escalar privilegios locales.

Versión afectada del producto

Solución

Adobe clasifica estas actualizaciones siguiendo este orden de prioridad y recomienda a los usuarios que actualicen el programa a la versión más reciente:

Nota: Como se ha mencionado previamente en APSB18-18, hay una mitigación de la vulnerabilidad CVE-2018-4994 disponible para los clientes. Deben modificar los filtros de Tomcat para evitar el acceso remoto a los archivos de configuración del sistema.Consulte este documento de ayuda para obtener más detalles.La versión 9.8.1 incluye este cambio de configuración en los ajustes predeterminados.

Detalles sobre la vulnerabilidad

Nota: CVE-2018-12805 se ha solucionado en la versión 9.7 del instalador de complementos de Connect.  

Reconocimientos

Adobe desea dar las gracias a las siguientes personas y organizaciones por informar de problemas relevantes y por colaborar con Adobe para proteger a nuestros clientes:

• Tanner LLC (CVE-2018-4994)

• BlackWingCat (CVE-2018-12805)