Se ha lanzado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a productos de Adobe, que permitirían a un atacante realizar ejecución de código arbitrario, escalamiento de privilegios, pérdida de memoria, entre otros.
Las vulnerabilidades reportadas se componen de 49 (cuarenta y nueve) de severidad “Alta” y 7 (siete) de severidad “Media”. Las principales se detallan a continuación:
- CVE-2023-26405 de severidad “Alta”, con puntuación de 8.6. Esta vulnerabilidad se debe a una falla de validación de datos de entrada proporcionada por el usuario en productos Adobe. Esto permitiría a un atacante realizar ejecución de código arbitrario en los productos afectados.
- CVE-2023-26406 de severidad “Alta”, con puntuación de 8.6. Esta vulnerabilidad se debe a una falla de validación de funciones de seguridad en productos Adobe. Esto permitiría a un atacante realizar omisión de autenticación de seguridad en los productos afectados.
- CVE-2023-26395 de severidad “Alta”, con puntuación de 7.8. Esta vulnerabilidad del tipo out-of-bounds write se debe a una falla de seguridad en productos Adobe. Esto permitiría a un atacante realizar ejecución de código arbitrario en los productos afectados.
Se puede acceder al listado completo de las vulnerabilidades aquí.
Los principales productos afectados son:
- Acrobat DC (Windows y macOS), versión 23.001.20093 y anteriores.
- Acrobat Reader DC (Windows y macOS), versión 23.001.20093 y anteriores.
- Acrobat 2020 (Windows y macOS), versión 20.005.30441 y anteriores.
- Acrobat Reader 2020 (Windows y macOS), versión 20.005.30441 y anteriores.
- Adobe InCopy (Windows y macOS), versión 18.1 y anteriores.
- Adobe InCopy (Windows y macOS), versión 18.1 y anteriores.
- Adobe InCopy (Windows y macOS), versión 17.4 y anteriores.
Puede acceder al listado completo de productos afectados en el siguiente enlace.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, acorde a la tecnología afectada indicada en el siguiente enlace:
- https://helpx.adobe.com/security/security-bulletin.html
- https://helpx.adobe.com/creative-cloud/help/adobe_application_updater.html
Referencias:
- https://www.securityweek.com/adobe-plugs-gaping-security-holes-in-reader-acrobat/
- https://helpx.adobe.com/security/products/acrobat/apsb23-24.html
- https://helpx.adobe.com/security/products/incopy/apsb23-13.html
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-26405
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-26406
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-26395
- https://helpx.adobe.com/security/security-bulletin.html
- https://www.cisa.gov/news-events/alerts/2023/04/11/adobe-releases-security-updates-multiple-products