Версии Acrobat Reader 24.005.20307, 24.001.30213, 24.001.30193, 20.005.30730, 20.005.30710 и более ранние подвержены уязвимости «Неправильное ограничение ссылки на внешний объект XML» («XXE»), которая позволяет злоумышленнику предоставить вредоносный ввод XML, содержащий ссылку на внешний объект, что потенциально может привести к несанкционированному доступу для чтения за пределами изолированной программной среды Acrobat. Использование этой проблемы требует взаимодействия с пользователем, поскольку жертва должна обработать вредоносный XML-документ.
Показать оригинальное описание (английский)
Acrobat Reader versions 24.005.20307, 24.001.30213, 24.001.30193, 20.005.30730, 20.005.30710 and earlier are affected by an Improper Restriction of XML External Entity Reference ('XXE') vulnerability that allows an attacker to provide malicious XML input containing a reference to an external entity, potentially leading to unauthorized read access outside the Acrobat sandbox. Exploitation of this issue requires user interaction in that a victim must process a malicious XML document.
Матрица атаки
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N
Тип уязвимости (CWE)
Уязвимые продукты
Известные затронутые конфигурации ПО
| Конфигурация | От (включительно) | До (не включая) |
|---|---|---|
|
cpe:2.3:a:adobe:acrobat:*:*:*:*:classic:*:*:*
Adobe:Acrobat
|
20.001.30002 | 20.005.30748 |
|
cpe:2.3:a:adobe:acrobat:*:*:*:*:classic:*:*:*
Adobe:Acrobat
|
24.0.0 | 24.001.30225 |
|
cpe:2.3:a:adobe:acrobat_dc:*:*:*:*:continuous:*:*:*
Adobe:Acrobat_Dc
|
- | 24.005.20320 |
|
cpe:2.3:a:adobe:acrobat_reader:*:*:*:*:classic:*:*:*
Adobe:Acrobat_Reader
|
20.001.30002 | 20.005.30748 |
|
cpe:2.3:a:adobe:acrobat_reader_dc:*:*:*:*:continuous:*:*:*
Adobe:Acrobat_Reader_Dc
|
- | 24.005.20320 |
|
cpe:2.3:o:apple:macos:-:*:*:*:*:*:*:*
Apple:Macos
|
- | - |
|
cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*
Microsoft:Windows
|
- | - |