CVE-2021-28545

Опубликовано: 01 апр. 2021

Источник: nvd

CVSS3: 8.1

CVSS2: 5.8

EPSS Низкий

Уязвимость полного изменения данных в сертифицированных PDF-файлах без утраты оригинальной сертификации в Acrobat Reader DC

Описание

В Acrobat Reader DC отсутствует поддержка проверки целостности, что позволяет злоумышленнику полностью изменить данные в сертифицированном PDF-файле, не нарушая его оригинальную сертификацию. Для эксплуатации уязвимости требуется взаимодействие пользователя, который должен открыть изменённый файл.

Затронутые версии ПО

Acrobat Reader DC версии 2020.013.20074 и ранее
Acrobat Reader DC версии 2020.001.30018 и ранее
Acrobat Reader DC версии 2017.011.30188 и ранее

Тип уязвимости

Подделка данных

Ссылки

https://helpx.adobe.com/security/products/acrobat/apsb21-09.html
Patch
Vendor Advisory
https://helpx.adobe.com/security/products/acrobat/apsb21-09.html
Patch
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

Одно из

cpe:2.3:a:adobe:acrobat:*:*:*:*:classic:*:*:*

Версия от 17.011.30059 (включая) до 17.011.30188 (включая)

cpe:2.3:a:adobe:acrobat:*:*:*:*:classic:*:*:*

Версия от 20.001.30005 (включая) до 20.001.30018 (включая)

cpe:2.3:a:adobe:acrobat_dc:*:*:*:*:continuous:*:*:*

Версия от 15.008.20082 (включая) до 20.013.20074 (включая)

cpe:2.3:a:adobe:acrobat_reader:*:*:*:*:classic:*:*:*

Версия от 17.011.30059 (включая) до 17.011.30188 (включая)

cpe:2.3:a:adobe:acrobat_reader:*:*:*:*:classic:*:*:*

Версия от 20.001.30005 (включая) до 20.001.30018 (включая)

cpe:2.3:a:adobe:acrobat_reader_dc:*:*:*:*:continuous:*:*:*

Версия от 15.008.20082 (включая) до 20.013.20074 (включая)

Одно из

cpe:2.3:o:apple:macos:-:*:*:*:*:*:*:*

cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*

EPSS

Процентиль: 79%

0.0121

Низкий

8.1 High

CVSS3

5.8 Medium

CVSS2

Дефекты

CWE-353

Связанные уязвимости

GHSA-4qgw-8wjq-84wr

github

больше 3 лет назад

Acrobat Reader DC versions versions 2020.013.20074 (and earlier), 2020.001.30018 (and earlier) and 2017.011.30188 (and earlier) are missing support for an integrity check. An unauthenticated attacker could leverage this vulnerability to show arbitrary content in a certified PDF without invalidating the certification. Exploitation of this issue requires user interaction in that a victim must open the tampered file.