Adobeの最新パッチチューズデーアップデートにより、11製品にわたる123件の脆弱性が修正されました。
総数のうち、57件はAdobe Experience Managerで修正されました。その大部分は任意のコード実行を可能にするXSSの欠陥であり、3件はセキュリティ機能のバイパスにつながる不適切な入力検証の問題として説明されています。
Adobe Campaign Classicでは、CVSSスコアが10の重大な問題が2件修正されました。いずれも任意のコード実行を可能にするものです。
ColdFusionでは、任意のコード実行、権限昇格、セキュリティ機能のバイパスを引き起こす可能性がある重大・高深刻度の問題を含む、7件の脆弱性が修正されました。
WindowsおよびmacOS向けのAcrobatとReaderでは、コード実行、DoS、メモリ露出のバグを含む20件のセキュリティホールが修正されました。
Dreamweaver、Format Plugins、Experience Manager Forms、InDesign、InCopy、Substance 3D Samplerにおいても、重大・高深刻度のコード実行脆弱性にパッチが当てられています。
また、Content Credentials SDKでは複数のDoS脆弱性も修正されました。
同社によると、現時点ではこれらの脆弱性を標的とした実際の悪用は確認されておらず、大半の欠陥には優先度評価3が割り当てられています。これは、悪意のある攻撃に利用される可能性が低いことを示すものです。
優先度評価1が割り当てられているのはColdFusionとCampaign Classicの脆弱性のみであり、攻撃に悪用される可能性があることを示しています。
ColdFusionは、最近のキャンペーンを含め、これまでも脅威アクターによる標的となってきた実績があります。
翻訳元: https://www.securityweek.com/adobe-patches-123-vulnerabilities/
