Версии Acrobat Reader 24.005.20307, 24.001.30213, 24.001.30193, 20.005.30730, 20.005.30710 и более ранние подвержены уязвимости «Неправильное ограничение ссылки на внешний объект XML» («XXE»), которая позволяет злоумышленнику предоставить вредоносный ввод XML, содержащий ссылку на внешний объект, что потенциально может привести к несанкционированному доступу для чтения за пределами изолированной программной среды Acrobat. Использование этой проблемы требует взаимодействия с пользователем, поскольку жертва должна обработать вредоносный XML-документ.
Показать оригинальное описание (EN)
Acrobat Reader versions 24.005.20307, 24.001.30213, 24.001.30193, 20.005.30730, 20.005.30710 and earlier are affected by an Improper Restriction of XML External Entity Reference ('XXE') vulnerability that allows an attacker to provide malicious XML input containing a reference to an external entity, potentially leading to unauthorized read access outside the Acrobat sandbox. Exploitation of this issue requires user interaction in that a victim must process a malicious XML document.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 7
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Adobe Acrobat
cpe:2.3:a:adobe:acrobat:*:*:*:*:classic:*:*:*
|
20.001.30002
|
20.005.30748
|
|
Adobe Acrobat
cpe:2.3:a:adobe:acrobat:*:*:*:*:classic:*:*:*
|
24.0.0
|
24.001.30225
|
|
Adobe Acrobat_Dc
cpe:2.3:a:adobe:acrobat_dc:*:*:*:*:continuous:*:*:*
|
— |
24.005.20320
|
|
Adobe Acrobat_Reader
cpe:2.3:a:adobe:acrobat_reader:*:*:*:*:classic:*:*:*
|
20.001.30002
|
20.005.30748
|
|
Adobe Acrobat_Reader_Dc
cpe:2.3:a:adobe:acrobat_reader_dc:*:*:*:*:continuous:*:*:*
|
— |
24.005.20320
|
|
Apple Macos
cpe:2.3:o:apple:macos:-:*:*:*:*:*:*:*
|
— | — |
|
Microsoft Windows
cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*
|
— | — |