explotación crítica

Adobe ha publicado actualizaciones de seguridad para parchear una vulnerabilidad de día cero en Acrobat y Reader etiquetada como explotada en ataques.

Aunque aún no se ha revelado información adicional sobre los ataques, se sabe que el día cero afecta tanto a los sistemas Windows como a macOS.

«Adobe es consciente de que CVE-2023-26369 ha sido explotado libremente en ataques limitados dirigidos a Adobe Acrobat y Reader», dijo la compañía en un aviso de seguridad publicado hoy.

La falla de seguridad crítica se rastrea como CVE-2023-26369 y puede permitir a los atacantes obtener la ejecución de código después de explotar con éxito una debilidad de escritura fuera de límites.

Si bien los actores de amenazas pueden explotarlo en ataques de baja complejidad sin requerir privilegios, la falla solo puede ser explotada por atacantes locales y también requiere la interacción del usuario, según su puntuación CVSS v3.1.

Addobe clasificó CVE-2023-26369 con una calificación de prioridad máxima, y la compañía recomienda encarecidamente a los administradores que instalen la actualización lo antes posible, idealmente dentro de un período de 72 horas.

Hoy, Adobe abordó más fallas de seguridad que pueden permitir a los atacantes obtener la ejecución de código arbitrario en sistemas que ejecutan el software Adobe Connect y Adobe Experience Manager sin parches.

Los errores de Connect (CVE-2023-29305 y CVE-2023-29306) y Experience Manager (CVE-2023-38214 y CVE-2023-38215) corregidos hoy se pueden utilizar para lanzar ataques de secuencias de comandos entre sitios (XSS) reflejados.

Pueden explotarse para acceder a cookies, tokens de sesión u otra información confidencial almacenada por los navegadores web de los objetivos.

En julio, Adobe lanzó una actualización de seguridad de emergencia de ColdFusion para abordar una vulnerabilidad de día cero (CVE-2023-38205) explotada en estado salvaje como parte de ataques limitados.

Días después, CISA ordenó a las agencias federales proteger los servidores Adobe ColdFusion en sus redes contra el error activamente explotado antes del 10 de agosto.

Fuente y redacción: thehackernews.com

Compartir