Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2021-39836

Опубликовано: 29 сент. 2021
Источник: nvd
CVSS3: 7.8
CVSS3: 7.8
CVSS2: 6.8
EPSS Средний

Уязвимость типа "использование после освобождения" (use-after-free) в "AcroForm" при обработке действия "buttonGetIcon" в Acrobat Reader DC

Описание

В Acrobat Reader DC обнаружена уязвимость типа "использование после освобождения" (use-after-free) в процессе обработки действия buttonGetIcon в AcroForm. Эта уязвимость позволяет злоумышленнику выполнить произвольный код с правами текущего пользователя. Чтобы злоумышленник мог воспользоваться уязвимостью, пользователь должен открыть вредоносный файл.

Затронутые версии ПО

  • Acrobat Reader DC версии 2021.005.20060 и более ранние
  • Acrobat Reader DC версии 2020.004.30006 и более ранние
  • Acrobat Reader DC версии 2017.011.30199 и более ранние

Тип уязвимости

  • Использование после освобождения (use-after-free)
  • Выполнение произвольного кода

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

Одно из

cpe:2.3:a:adobe:acrobat:*:*:*:*:classic:*:*:*
Версия от 17.011.30059 (включая) до 17.011.30199 (включая)
cpe:2.3:a:adobe:acrobat_reader:*:*:*:*:classic:*:*:*
Версия от 17.011.30059 (включая) до 17.011.30199 (включая)

Одно из

cpe:2.3:o:apple:macos:-:*:*:*:*:*:*:*
cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*
Конфигурация 2

Одновременно

Одно из

cpe:2.3:a:adobe:acrobat:*:*:*:*:classic:*:*:*
Версия от 20.001.30005 (включая) до 20.004.30006 (включая)
cpe:2.3:a:adobe:acrobat_reader:*:*:*:*:classic:*:*:*
Версия от 20.001.30005 (включая) до 20.004.30006 (включая)

Одно из

cpe:2.3:o:apple:macos:-:*:*:*:*:*:*:*
cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*
Конфигурация 3

Одновременно

Одно из

cpe:2.3:a:adobe:acrobat_dc:*:*:*:*:continuous:*:*:*
Версия от 15.008.20082 (включая) до 21.005.20058 (включая)
cpe:2.3:a:adobe:acrobat_reader_dc:*:*:*:*:continuous:*:*:*
Версия от 15.008.20082 (включая) до 21.005.20058 (включая)
cpe:2.3:o:apple:macos:-:*:*:*:*:*:*:*
Конфигурация 4

Одновременно

Одно из

cpe:2.3:a:adobe:acrobat_dc:*:*:*:*:continuous:*:*:*
Версия от 15.008.20082 (включая) до 21.005.20060 (включая)
cpe:2.3:a:adobe:acrobat_reader_dc:*:*:*:*:continuous:*:*:*
Версия от 15.008.20082 (включая) до 21.005.20060 (включая)
cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*

EPSS

Процентиль: 98%
0.50752
Средний

7.8 High

CVSS3

7.8 High

CVSS3

6.8 Medium

CVSS2

Дефекты

CWE-416

Связанные уязвимости

github логотип

GHSA-742p-c75r-3hmv

github
больше 3 лет назад

Acrobat Reader DC versions 2021.005.20060 (and earlier), 2020.004.30006 (and earlier) and 2017.011.30199 (and earlier) are affected by a use-after-free vulnerability in the processing of the AcroForm buttonGetIcon action that could result in arbitrary code execution in the context of the current user. Exploitation of this issue requires user interaction in that a victim must open a malicious file.

fstec логотип

BDU:2021-05719

CVSS3: 7.8
fstec
больше 4 лет назад

Уязвимость программ просмотра PDF-файлов Adobe Reader Document Cloud, Adobe Reader и программ редактирования PDF-файлов Adobe Acrobat Document Cloud, Adobe Acrobat, связанная с использованием памяти после ее освобождения, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 98%
0.50752
Средний

7.8 High

CVSS3

7.8 High

CVSS3

6.8 Medium

CVSS2

Дефекты

CWE-416