CVE-2022-28256

Опубликовано: 11 мая 2022

Источник: nvd

CVSS3: 5.5

CVSS2: 4.3

EPSS Низкий

Уязвимость "использования после освобождения" в Acrobat Reader DC, способная привести к раскрытию конфиденциальных данных

Описание

В Acrobat Reader DC обнаружена уязвимость типа "использование после освобождения" (use-after-free). Эта уязвимость позволяет злоумышленнику раскрыть конфиденциальные данные в памяти. Злоумышленник способен использовать эту уязвимость, чтобы обойти способы защиты, такие как ASLR. Для эксплуатации уязвимости требуется участие пользователя, который должен открыть вредоносный файл.

Затронутые версии ПО

Acrobat Reader DC версии 22.001.2011x и более ранние
Acrobat Reader DC версии 20.005.3033x и более ранние
Acrobat Reader DC версии 17.012.3022x и более ранние

Тип уязвимости

Использование после освобождения (use-after-free)
Утечка конфиденциальных данных

Ссылки

https://helpx.adobe.com/security/products/acrobat/apsb22-16.html
Vendor Advisory
https://helpx.adobe.com/security/products/acrobat/apsb22-16.html
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

Одно из

cpe:2.3:a:adobe:acrobat_dc:*:*:*:*:continuous:*:*:*

Версия от 15.008.20082 (включая) до 22.001.20085 (включая)

cpe:2.3:a:adobe:acrobat_reader_dc:*:*:*:*:continuous:*:*:*

Версия от 15.008.20082 (включая) до 22.001.20085 (включая)

Одно из

cpe:2.3:o:apple:macos:-:*:*:*:*:*:*:*

cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

Одно из

cpe:2.3:a:adobe:acrobat:*:*:*:*:classic:*:*:*

Версия от 17.011.30059 (включая) до 17.012.30205 (включая)

cpe:2.3:a:adobe:acrobat_reader:*:*:*:*:classic:*:*:*

Версия от 17.011.30059 (включая) до 17.012.30205 (включая)

Одно из

cpe:2.3:o:apple:macos:-:*:*:*:*:*:*:*

cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*

Конфигурация 3

Одновременно

Одно из

cpe:2.3:a:adobe:acrobat:*:*:*:*:classic:*:*:*

Версия от 20.001.30005 (включая) до 20.005.30314 (включая)

cpe:2.3:a:adobe:acrobat_reader:*:*:*:*:classic:*:*:*

Версия от 20.001.30005 (включая) до 20.005.30314 (включая)

cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*

Конфигурация 4

Одновременно

Одно из

cpe:2.3:a:adobe:acrobat:*:*:*:*:classic:*:*:*

Версия от 20.001.30005 (включая) до 20.005.30311 (включая)

cpe:2.3:a:adobe:acrobat_reader:*:*:*:*:classic:*:*:*

Версия от 20.001.30005 (включая) до 20.005.30311 (включая)

cpe:2.3:o:apple:macos:-:*:*:*:*:*:*:*

EPSS

Процентиль: 81%

0.01491

Низкий

5.5 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-416

Связанные уязвимости

GHSA-jm22-pfqv-j62p

CVSS3: 5.5

github

больше 3 лет назад

Acrobat Reader DC version 22.001.2011x (and earlier), 20.005.3033x (and earlier) and 17.012.3022x (and earlier) are affected by a use-after-free vulnerability that could lead to disclosure of sensitive memory. An attacker could leverage this vulnerability to bypass mitigations such as ASLR. Exploitation of this issue requires user interaction in that a victim must open a malicious file.

EPSS

Процентиль: 81%

0.01491

Низкий

5.5 Medium

CVSS3

4.3 Medium

CVSS2

Дефекты

CWE-416