CVE-2021-28550

Опубликовано: 02 сент. 2021

Источник: nvd

CVSS3: 9.6

CVSS3: 8.8

CVSS2: 6.8

EPSS Средний

Уязвимость использования после освобождения (use-after-free) в Adobe Acrobat Reader DC, позволяющая выполнять произвольный код

Описание

В Adobe Acrobat Reader DC обнаружена уязвимость типа "использование после освобождения" (use-after-free). Злоумышленник, не имеющий аутентификации, способен использовать эту уязвимость для выполнения произвольного кода в контексте текущего пользователя. Для эксплуатации уязвимости необходимо взаимодействие пользователя, так как жертва должна открыть вредоносный файл.

Затронутые версии ПО

Acrobat Reader DC версии 2021.001.20150 и более ранние
Acrobat Reader DC версии 2020.001.30020 и более ранние
Acrobat Reader DC версии 2017.011.30194 и более ранние

Тип уязвимости

Уязвимость использования после освобождения (use-after-free)
Выполнение произвольного кода

Ссылки

https://helpx.adobe.com/security/products/acrobat/apsb21-29.html
Release Notes
Vendor Advisory
https://helpx.adobe.com/security/products/acrobat/apsb21-29.html
Release Notes
Vendor Advisory
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2021-28550
Third Party Advisory
US Government Resource

Уязвимые конфигурации

Конфигурация 1

Одновременно

Одно из

cpe:2.3:a:adobe:acrobat_dc:*:*:*:*:continuous:*:*:*

Версия от 15.008.20082 (включая) до 21.001.20150 (включая)

cpe:2.3:a:adobe:acrobat_reader_dc:*:*:*:*:continuous:*:*:*

Версия от 15.008.20082 (включая) до 21.001.20150 (включая)

cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

Одно из

cpe:2.3:a:adobe:acrobat:*:*:*:*:classic:*:*:*

Версия от 17.011.30059 (включая) до 17.011.30194 (включая)

cpe:2.3:a:adobe:acrobat:*:*:*:*:classic:*:*:*

Версия от 20.001.30005 (включая) до 20.001.30020 (включая)

cpe:2.3:a:adobe:acrobat_reader:*:*:*:*:classic:*:*:*

Версия от 17.011.30059 (включая) до 17.011.30194 (включая)

cpe:2.3:a:adobe:acrobat_reader:*:*:*:*:classic:*:*:*

Версия от 20.001.30005 (включая) до 20.001.30020 (включая)

Одно из

cpe:2.3:o:apple:macos:-:*:*:*:*:*:*:*

cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*

Конфигурация 3

Одновременно

Одно из

cpe:2.3:a:adobe:acrobat_dc:*:*:*:*:continuous:*:*:*

Версия от 15.008.20082 (включая) до 21.001.20149 (включая)

cpe:2.3:a:adobe:acrobat_reader_dc:*:*:*:*:continuous:*:*:*

Версия от 15.008.20082 (включая) до 21.001.20149 (включая)

cpe:2.3:o:apple:macos:-:*:*:*:*:*:*:*

EPSS

Процентиль: 97%

0.32051

Средний

9.6 Critical

CVSS3

8.8 High

CVSS3

6.8 Medium

CVSS2

Дефекты

CWE-416

Связанные уязвимости

GHSA-865h-4rjv-52pg

CVSS3: 8.8

github

больше 3 лет назад

Acrobat Reader DC versions versions 2021.001.20150 (and earlier), 2020.001.30020 (and earlier) and 2017.011.30194 (and earlier) are affected by a Use After Free vulnerability. An unauthenticated attacker could leverage this vulnerability to achieve arbitrary code execution in the context of the current user. Exploitation of this issue requires user interaction in that a victim must open a malicious file.

BDU:2021-02532

CVSS3: 8.8

fstec

больше 4 лет назад

Уязвимость программ просмотра PDF-файлов Adobe Reader Document Cloud, Adobe Reader и программ редактирования PDF-файлов Adobe Acrobat Document Cloud, Adobe Acrobat, связанная с использованием памяти после ее освобождения, позволяющая нарушителю выполнить произвольный код

CVE-2021-31201

CVSS3: 5.2

msrc

больше 4 лет назад

Microsoft Enhanced Cryptographic Provider Elevation of Privilege Vulnerability

CVE-2021-31199

CVSS3: 5.2

msrc

больше 4 лет назад

Microsoft Enhanced Cryptographic Provider Elevation of Privilege Vulnerability

EPSS

Процентиль: 97%

0.32051

Средний

9.6 Critical

CVSS3

8.8 High

CVSS3

6.8 Medium

CVSS2

Дефекты

CWE-416