← voltar
CVE-2022-28244

Adobe Acrobat Reader DC CSP Bypass Leads To Privilege Escalation

CVSS 6.3 MEDIUMEPSS 3.4%CWE-657
Em resumo

O Adobe Acrobat Reader DC possui uma falha que permite que invasores ultrapassem as políticas de segurança projetadas para prevenir requisições não autorizadas entre domínios. Um invasor pode enganar um usuário para abrir um arquivo PDF malicioso, que então envia solicitações indesejadas para outros sites em nome da vítima.

Detalhe técnico

CVE-2022-28244 envolve um bypass de Content Security Policy (CSP) no Acrobat Reader DC através de violação dos princípios de design seguro. O vetor de ataque requer interação do usuário (abertura de um PDF manipulado em servidor do invasor) e permite execução de requisições arbitrárias entre origens. O impacto habilita ações não autorizadas contra domínios de terceiros no contexto de segurança da vítima.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Acrobat Reader DC versions 22.001.20085 (and earlier), 20.005.3031x (and earlier) and 17.012.30205 (and earlier) is affected by a violation of secure design principles through bypassing the content security policy, which could result in an attacker sending arbitrarily configured requests to the cross-origin attack target domain. Exploitation requires user interaction in which the victim needs to access a crafted PDF file on an attacker's server.
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N
Produtos afetados
Adobe · Acrobat Reader

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://helpx.adobe.com/security/products/acrobat/apsb22-16.html