ID biuletynu
Ostatnia aktualizacja
23 gru 2024
Dostępna aktualizacja zabezpieczeń programu Adobe Connect | APSB24-99
|
|
Data publikacji |
Priorytet |
|---|---|---|
|
APSB24-99 |
10 grudnia 2024 r. |
3 |
Podsumowanie
Firma Adobe wydała aktualizację zabezpieczeń dla programu Adobe Connect. Ta aktualizacja usuwa krytyczne, istotne i umiarkowanie ważne luki w zabezpieczeniach. Wykorzystanie tych luk mogło doprowadzić do wykonania dowolnego kodu, eskalacji uprawnień i ominięcia funkcji zabezpieczeń.
Firma Adobe nie ma informacji o żadnych przypadkach aktywnego wykorzystania jakichkolwiek problemów uwzględnionych w ramach tych aktualizacji.
Wersje produktu, których dotyczy problem
|
Produkt |
Wersja |
Platforma |
|---|---|---|
|
Adobe Connect |
12.6 i starsze wersje |
Wszystkie |
|
Adobe Connect |
11.4.7 i starsze wersje |
Wszystkie |
Rozwiązanie
Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji.
|
Produkt |
Wersja |
Platforma |
Priorytet |
Dostępność |
|---|---|---|---|---|
|
Adobe Connect |
12.7 |
Wszystkie |
3 |
|
|
Adobe Connect |
11.4.9 |
Wszystkie |
3 |
Informacje o luce w zabezpieczeniach
|
Kategoria luki w zabezpieczeniach |
Wpływ luki w zabezpieczeniach |
Ostrość |
Podstawowy wynik CVSS |
Numer CVE |
|
|---|---|---|---|---|---|
|
Tworzenie skryptów międzywitrynowych (Reflected XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Krytyczna |
9.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N |
CVE-2024-54032 |
|
Tworzenie skryptów międzywitrynowych (Reflected XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Krytyczna |
8.0 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N |
CVE-2024-54034 |
|
Niewłaściwa autoryzacja (CWE-285) |
Eskalacja uprawnień |
Krytyczna |
7.3 |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L |
CVE-2024-54035 |
|
Tworzenie skryptów międzywitrynowych (Reflected XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Krytyczna |
9.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N |
CVE-2024-54036 |
|
Tworzenie skryptów międzywitrynowych (Reflected XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Krytyczna |
7.3 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:N |
CVE-2024-54037 |
|
Tworzenie skryptów międzywitrynowych (Reflected XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-54039 |
|
Tworzenie skryptów międzywitrynowych (Reflected XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna |
6.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-49550 |
|
Tworzenie skryptów międzywitrynowych (Reflected XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-54040 |
|
Tworzenie skryptów międzywitrynowych (Reflected XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-54041 |
|
Tworzenie skryptów międzywitrynowych (Reflected XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-54042 |
|
Tworzenie skryptów międzywitrynowych (Reflected XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-54043 |
|
Tworzenie skryptów międzywitrynowych (Reflected XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2024-54044 |
|
Tworzenie skryptów międzywitrynowych (Reflected XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2024-54045 |
|
Tworzenie skryptów międzywitrynowych (Reflected XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2024-54046 |
|
Tworzenie skryptów międzywitrynowych (Reflected XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2024-54047 |
|
Tworzenie skryptów międzywitrynowych (Reflected XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2024-54048 |
|
Tworzenie skryptów międzywitrynowych (Reflected XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna |
6.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-54049 |
|
Przekierowanie URL do niezaufanej witryny („Open Redirect”) (CWE-601) |
Obejście funkcji bezpieczeństwa |
Umiarkowanie ważna |
3.1 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2024-54050 |
|
Przekierowanie URL do niezaufanej witryny („Open Redirect”) (CWE-601) |
Obejście funkcji bezpieczeństwa |
Umiarkowanie ważna |
3.1 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2024-54051 |
|
Niewłaściwa kontrola dostępu (CWE-284) |
Obejście funkcji bezpieczeństwa |
Umiarkowanie ważna |
4.3 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-54038 |
Podziękowania:
Podziękowania
Firma Adobe składa podziękowania następującym badaczom za zgłoszenie tej luki w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:
- lpi – CVE-2024-54040, CVE-2024-54041, CVE-2024-54042, CVE-2024-54043, CVE-2024-54044, CVE-2024-54045, CVE-2024-54046, CVE-2024-54047, CVE-2024-54048
- Laish (a_l) – CVE-2024-54035, CVE-2024-54036, CVE-2024-54037, CVE-2024-54051
- Naaash – CVE-2024-54032, CVE-2024-54038
- fekirineakira (djallalakira) – CVE-2024-49550
- Surajjj (ninetynine) – CVE-2024-54034
- Charlie (moopinger) – CVE-2024-54039
- Jorge Cerezo (zere) – CVE-2024-54049
- Daniel Ferreira (ferreiraklet_) i Leonardo Campos (foorw1nner) – CVE-2024-54050
UWAGA: Firma Adobe prowadzi wspólnie z firmą HackerOne publiczny program nagród za wykryte błędy. Jeśli interesuje Cię współpraca z firmą Adobe w roli zewnętrznego analityka bezpieczeństwa, odwiedź tę stronę: https://hackerone.com/adobe
Wersje
10 grudnia 2024 r. – usunięto informacje CVE dotyczące CVE-2024-54033 i CVE-2024-54052
10 grudnia 2024 r. – CVE-2024-54050 zapisano jako „Daniel Ferreira (ferreiraklet_) i Leonardo Campos (foorw1nner)”
Aby uzyskać więcej informacji, odwiedź https://helpx.adobe.com/pl/security.html lub wyślij wiadomość e-mail na adres PSIRT@adobe.com.
