ID bollettino
Ultimo aggiornamento il
23 dic 2024
Aggiornamento di sicurezza disponibile per Adobe Connect | APSB24-99
|
|
Data di pubblicazione |
Priorità |
|---|---|---|
|
APSB24-99 |
10 dicembre 2024 |
3 |
Riepilogo
Adobe ha rilasciato un aggiornamento di sicurezza per Adobe Connect. Questo aggiornamento risolve vulnerabilità critiche, importanti emoderate. Un eventuale sfruttamento delle vulnerabilità può provocare l’esecuzione di codice arbitrario, l’acquisizione illecita di privilegi e l’aggiramento delle funzioni di sicurezza.
Adobe non è a conoscenza di sfruttamenti delle vulnerabilità oggetto di questi aggiornamenti.
Versioni del prodotto interessate
|
Prodotto |
Versione |
Piattaforma |
|---|---|---|
|
Adobe Connect |
12.6 e versioni precedenti |
Tutte |
|
Adobe Connect |
11.4.7 e versioni precedenti |
Tutte |
Soluzione
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente.
|
Prodotto |
Versione |
Piattaforma |
Priorità |
Disponibilità |
|---|---|---|---|---|
|
Adobe Connect |
12.7 |
Tutte |
3 |
|
|
Adobe Connect |
11.4.9 |
Tutte |
3 |
Dettagli della vulnerabilità
|
Categoria della vulnerabilità |
Impatto della vulnerabilità |
Gravità |
Punteggio base CVSS |
Codice CVE |
|
|---|---|---|---|---|---|
|
Vulnerabilità cross-site scripting (riflesso XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Critica |
9.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N |
CVE-2024-54032 |
|
Vulnerabilità cross-site scripting (riflesso XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Critica |
8.0 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:N |
CVE-2024-54034 |
|
Autorizzazione impropria (CWE-285) |
Acquisizione illecita di privilegi |
Critica |
7.3 |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L |
CVE-2024-54035 |
|
Vulnerabilità cross-site scripting (riflesso XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Critica |
9.3 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N |
CVE-2024-54036 |
|
Vulnerabilità cross-site scripting (riflesso XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Critica |
7.3 |
CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:N |
CVE-2024-54037 |
|
Vulnerabilità cross-site scripting (riflesso XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-54039 |
|
Cross-site scripting (riflesso XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
6.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-49550 |
|
Vulnerabilità cross-site scripting (riflesso XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-54040 |
|
Vulnerabilità cross-site scripting (riflesso XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-54041 |
|
Vulnerabilità cross-site scripting (riflesso XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-54042 |
|
Vulnerabilità cross-site scripting (riflesso XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-54043 |
|
Vulnerabilità cross-site scripting (riflesso XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2024-54044 |
|
Vulnerabilità cross-site scripting (riflesso XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2024-54045 |
|
Vulnerabilità cross-site scripting (riflesso XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2024-54046 |
|
Vulnerabilità cross-site scripting (riflesso XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2024-54047 |
|
Vulnerabilità cross-site scripting (riflesso XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
CVE-2024-54048 |
|
Vulnerabilità cross-site scripting (riflesso XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
6.1 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-54049 |
|
Reindirizzamento dell’URL a un sito non attendibile ('Open Redirect') (CWE-601) |
Aggiramento della funzione di sicurezza |
Moderata |
3.1 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2024-54050 |
|
Reindirizzamento dell’URL a un sito non attendibile ('Open Redirect') (CWE-601) |
Aggiramento della funzione di sicurezza |
Moderata |
3.1 |
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N |
CVE-2024-54051 |
|
Controllo di accesso non corretto (CWE-284) |
Aggiramento della funzione di sicurezza |
Moderata |
4.3 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2024-54038 |
Ringraziamenti:
Ringraziamenti
Adobe desidera ringraziare i ricercatori seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:
- lpi - CVE-2024-54040, CVE-2024-54041, CVE-2024-54042, CVE-2024-54043, CVE-2024-54044, CVE-2024-54045, CVE-2024-54046, CVE-2024-54047, CVE-2024-54048
- Laish (a_l) - CVE-2024-54035, CVE-2024-54036, CVE-2024-54037, CVE-2024-54051
- Naaash - CVE-2024-54032, CVE-2024-54038
- fekirineakira (djallalakira) - CVE-2024-49550
- Surajjj (ninetynine) - CVE-2024-54034
- Charlie (moopinger) - CVE-2024-54039
- Jorge Cerezo (zere) - CVE-2024-54049
- Daniel Ferreira (ferreiraklet_) e Leonardo Campos (foorw1nner) - CVE-2024-54050
NOTA: Adobe dispone di un programma di bug bounty con HackerOne. Se ti interessa lavorare con Adobe come ricercatore esterno sulla sicurezza, visita: https://hackerone.com/adobe
Revisioni
10 dicembre 2024 - CVE-2024-54033 e CVE-2024-54052 rimossi.
10 dicembre 2024 - CVE-2024-54050 accreditato come “Daniel Ferreira (ferreiraklet_) e Leonardo Campos (foorw1nner)”
Per ulteriori informazioni, visitare il sito https://helpx.adobe.com/it/security.html o inviare un'e-mail a PSIRT@adobe.com.
