Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2021-44714

Опубликовано: 14 янв. 2022
Источник: nvd
CVSS3: 2.5
CVSS3: 3.3
CVSS2: 4.3
EPSS Низкий

Уязвимость обхода функции безопасности в Adobe Acrobat Reader DC через нарушение принципов безопасного проектирования

Описание

Acrobat Reader DC подвержен уязвимости, связанной с нарушением принципов безопасного проектирования (Secure Design Principles). Эта уязвимость может привести к обходу защитных функций.

При открытии PDF-файла Acrobat Reader DC отображает предупреждающее сообщение, которое может быть использовано злоумышленником для введения пользователя в заблуждение. В уязвимых версиях предупреждение не отображает информацию о пользовательских протоколах, которые используются отправителем.

Для эксплуатации уязвимости требуется взаимодействие пользователя: он должен нажать «Разрешить» в предупреждающем сообщении, связанном с вредоносным файлом.

Затронутые версии ПО

  • Acrobat Reader DC версии 21.007.20099 и ранее
  • 20.004.30017 и ранее
  • 17.011.30204 и ранее

Тип уязвимости

Обход функции безопасности

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

Одно из

cpe:2.3:a:adobe:acrobat_dc:*:*:*:*:continuous:*:*:*
Версия от 15.008.20082 (включая) до 21.007.20099 (включая)
cpe:2.3:a:adobe:acrobat_reader_dc:*:*:*:*:continuous:*:*:*
Версия от 15.008.20082 (включая) до 21.007.20099 (включая)
cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*
Конфигурация 2

Одновременно

Одно из

cpe:2.3:a:adobe:acrobat:*:*:*:*:classic:*:*:*
Версия от 17.011.30059 (включая) до 17.011.30204 (включая)
cpe:2.3:a:adobe:acrobat:*:*:*:*:classic:*:*:*
Версия от 20.001.30005 (включая) до 20.004.30017 (включая)
cpe:2.3:a:adobe:acrobat_reader:*:*:*:*:classic:*:*:*
Версия от 17.011.30059 (включая) до 17.011.30204 (включая)
cpe:2.3:a:adobe:acrobat_reader:*:*:*:*:classic:*:*:*
Версия от 20.001.30005 (включая) до 20.004.30017 (включая)

Одно из

cpe:2.3:o:apple:macos:-:*:*:*:*:*:*:*
cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*
Конфигурация 3

Одновременно

Одно из

cpe:2.3:a:adobe:acrobat_dc:*:*:*:*:continuous:*:*:*
Версия от 15.008.20082 (включая) до 21.007.20099 (включая)
cpe:2.3:a:adobe:acrobat_reader_dc:*:*:*:*:continuous:*:*:*
Версия от 15.008.20082 (включая) до 21.007.20099 (включая)
cpe:2.3:o:apple:macos:-:*:*:*:*:*:*:*

EPSS

Процентиль: 66%
0.00527
Низкий

2.5 Low

CVSS3

3.3 Low

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-657
NVD-CWE-Other

Связанные уязвимости

github логотип

GHSA-85x3-59h8-rmrv

github
около 4 лет назад

Acrobat Reader DC version 21.007.20099 (and earlier), 20.004.30017 (and earlier) and 17.011.30204 (and earlier) are affected by a Violation of Secure Design Principles that could lead to a Security feature bypass. Acrobat Reader DC displays a warning message when a user clicks on a PDF file, which could be used by an attacker to mislead the user. In affected versions, this warning message does not include custom protocols when used by the sender. User interaction is required to abuse this vulnerability as they would need to click 'allow' on the warning message of a malicious file.

fstec логотип

BDU:2022-02708

CVSS3: 2.5
fstec
около 4 лет назад

Уязвимость программ просмотра и редактирования PDF-файлов Adobe Acrobat Document Cloud, Adobe Acrobat Reader Document Cloud, Adobe Acrobat 2017, Adobe Acrobat Reader 2017, Adobe Acrobat 2020, Adobe Acrobat Reader 2020, связанная с нарушением принципов безопасного проектирования, позволяющая нарушителю раскрыть защищаемую информацию

EPSS

Процентиль: 66%
0.00527
Низкий

2.5 Low

CVSS3

3.3 Low

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-657
NVD-CWE-Other