Consorzio Metis

CSIRT Toscana

CSIRT Toscana

Adobe rilascia aggiornamenti per sanare molteplici vulnerabilità (AL03/240612/CSIRT-ITA) – Aggiornamento

Data:
18 Luglio 2024 11:54

Data di creazione: 12/06/2024 – 12:24

Sintesi

Adobe ha rilasciato aggiornamenti di sicurezza per risolvere molteplici vulnerabilità, di cui 4 con gravità “critica” e 10 con gravità “alta” nei prodotti Photoshop, Experience Manager, FrameMaker Publishing Server, Commerce, ColdFusion, Substance 3D Stager e Creative Cloud Desktop Application.

Note (aggiornamento del 04/07/2024): un Proof of Concept (PoC) per lo sfruttamento della CVE-2024-34102 risulta disponibile in rete.

Note (aggiornamento del 18/07/2024): la CVE-2024-34102 risulta essere sfruttata attivamente in rete.

Rischio

Stima d’impatto della vulnerabilità sulla comunità di riferimento: ALTO/ARANCIONE (66,66/100)1.

Tipologia

  • Arbitrary Code Execution
  • Security Feature Bypass
  • Privilege Escalation
  • Arbitrary File Read

Prodotti e/o versioni affette

Adobe

  • ColdFusion
  • Commerce
  • Creative Cloud Desktop Application
  • Experience Manager
  • FrameMaker Publishing Server
  • Photoshop
  • Substance 3D Stager

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si consiglia di aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza disponibili ai link nella sezione Riferimenti.

Identificatori univoci vulnerabilità

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “critica” e “alta”:

CVE-2024-20753

CVE-2024-26029

CVE-2024-30299

CVE-2024-30300

CVE-2024-34111

CVE-2024-34102

CVE-2024-34103

CVE-2024-34104

CVE-2024-34108

CVE-2024-34109

CVE-2024-34110

CVE-2024-34112

CVE-2024-34115

CVE-2024-34116

Riferimenti

https://helpx.adobe.com/security/security-bulletin.html

https://helpx.adobe.com/security/products/photoshop/apsb24-27.html

https://helpx.adobe.com/security/products/experience-manager/apsb24-28.html

https://helpx.adobe.com/security/products/framemaker-publishing-server/apsb24-38.html

https://helpx.adobe.com/security/products/magento/apsb24-40.html

https://helpx.adobe.com/security/products/coldfusion/apsb24-41.html

https://helpx.adobe.com/security/products/substance3d_stager/apsb24-43.html

https://helpx.adobe.com/security/products/creative-cloud/apsb24-44.html

1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità.