PT-2021-5590 · Adobe · Robohelp Server+1
Publicado
2021-11-09
·
Atualizado
2022-07-21
·
CVE-2021-42727
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Adobe RoboHelp Server versões 2020.0.1 e anteriores
Adobe Bridge versões 11.1.1 e anteriores
Descrição
O problema está relacionado à possibilidade de fazer upload de arquivos arbitrários fora do diretório pretendido, o que poderia permitir que um invasor remoto executasse código arbitrário no contexto do usuário atual. A exploração pode exigir interação do usuário, como abrir um arquivo malicioso ou acessar um arquivo plantado no servidor. A vulnerabilidade se deve ao tratamento inseguro de arquivos maliciosos ou à traversal de caminho.
Recomendações
Para as versões 2020.0.1 e anteriores do Adobe RoboHelp Server, restrinja o acesso à funcionalidade de upload de arquivos até que uma correção esteja disponível.
Para as versões 11.1.1 e anteriores do Adobe Bridge, evite abrir arquivos criados de forma maliciosa no Bridge até que o problema seja resolvido.
Como solução alternativa temporária, considere desativar o recurso de upload de arquivos no Adobe RoboHelp Server e limitar o acesso a arquivos confidenciais no Adobe Bridge até que uma correção esteja disponível.
Correção
Path traversal
Memory Corruption
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Bridge
Robohelp Server