Se ha reportado un nuevo aviso de seguridad sobre 29 vulnerabilidades que afectan a múltiples productos de Adobe, que permitirían al atacante realizar escalamiento de privilegios, denegación de servicios (DoS), ejecución remota de código (RCE), entre otros.
Las vulnerabilidades reportadas se componen de 5 (cinco) de severidad “Crítica”, 14 (catorce) de severidad “Alta”, 9 (nueve) de severidad “Media” y 1 de severidad “Baja”. Las principales se detallan a continuación:
- CVE-2022-35698 de severidad crítica, con puntuación de 10.0. Esta vulnerabilidad de cross-site scripting (XSS) se debe a la falta de validación de datos proporcionados por el usuario. Esto permitiría a un atacante remoto inyectar códigos HTML y scripts arbitrarios en el navegador de la víctima, desencadenando posibles ataques de phishing y otras acciones malintencionadas.
- CVE-2022-35710, CVE-2022-35690 ambas de severidad crítica, con puntuación de 9.8. Estas vulnerabilidades de desbordamiento de buffer basado en pila se deben a un error de limitación en Adobe ColdFusion. Un atacante no autenticado podría enviar un archivo especialmente diseñado provocando ejecución remota de código (RCE) en el sistema afectado.
- CVE-2022-35711, CVE-2022-35712 ambas de severidad crítica, con puntuación de 9.8. Estas vulnerabilidades de desbordamiento de buffer basado en montón se deben a un error de limitación en Adobe ColdFusion. Un atacante remoto podría realizar ejecución remota de código (RCE) en el sistema afectado.
Se puede acceder al listado completo de las vulnerabilidades aquí.
Algunos productos afectados son:
- ColdFusion 2018, 2021.
- Adobe Commerce, versiones 2.4.4-p1 y anteriores.
- Magento Open Source, versiones 2.4.4-p1 y anteriores.
- Adobe Dimension, versiones 3.4.5 y anteriores.
Se puede acceder al listado completo de los productos afectados aquí.
Adobe recomienda instalar las actualizaciones correspondientes para cada producto afectado, en los siguientes enlaces:
- https://get.adobe.com/es/reader/
- https://devdocs.magento.com/guides/v2.4/release-notes/bk-release-notes.html
- https://www.adobe.com/products/dimension.html
Adicionalmente, para ColdFusion adobe recomienda seguir los pasos para actualización en el siguiente enlace:
Referencias:
- https://www.securityweek.com/patch-tuesday-critical-flaws-coldfusion-adobe-commerce
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-35710
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-35698
- https://helpx.adobe.com/security.html
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-35711
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-35712
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-35690
- https://get.adobe.com/es/reader/
- https://devdocs.magento.com/guides/v2.4/release-notes/bk-release-notes.html
- https://helpx.adobe.com/security/products/coldfusion/apsb22-44.html
- https://www.adobe.com/products/dimension.html