Уязвимость выполнения произвольного JavaScript кода в Adobe Acrobat Reader и Pro DC через некорректную проверку входных данных
Описание
Уязвимость в Adobe Acrobat Reader DC и Adobe Acrobat Pro DC связана с некорректной проверкой входных данных, что позволяет злоумышленнику выполнять произвольный JavaScript код от имени текущего пользователя. Для эксплуатации уязвимости злоумышленник должен получить и изменить сертифицированный PDF-документ, которому доверяет жертва, а затем убедить её открыть этот документ.
Затронутые версии ПО
- Acrobat Reader DC версии 2020.012.20048 и более ранние
- Acrobat Reader DC версии 2020.001.30005 и более ранние
- Acrobat Reader DC версии 2017.011.30175 и более ранние
- Adobe Acrobat Pro DC версии 2017.011.30175 и более ранние
Тип уязвимости
Выполнение произвольного кода
Ссылки
- Vendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одновременно
Одно из
Одно из
EPSS
6.7 Medium
CVSS3
7.8 High
CVSS3
6.8 Medium
CVSS2
Дефекты
Связанные уязвимости
Acrobat Reader DC versions 2020.012.20048 (and earlier), 2020.001.30005 (and earlier) and 2017.011.30175 (and earlier) and Adobe Acrobat Pro DC 2017.011.30175 (and earlier) are affected by an improper input validation vulnerability that could result in arbitrary JavaScript execution in the context of the current user. To exploit this issue, an attacker must acquire and then modify a certified PDF document that is trusted by the victim. The attacker then needs to convince the victim to open the document.
Уязвимость программ просмотра PDF-файлов Adobe Reader Document Cloud, Adobe Reader и программ редактирования PDF-файлов Adobe Acrobat Document Cloud, Adobe Acroba, связанная с недостаточной проверкой вводимых данных, позволяющая нарушителю выполнить произвольный код
EPSS
6.7 Medium
CVSS3
7.8 High
CVSS3
6.8 Medium
CVSS2