Nivel de peligrosidad: CRÍTICO Y ALTO
Adobe ha lanzado tres actualizaciones de seguridad para corregir una serie de vulnerabilidades en Adobe Bridge, Adobe Illustrator y Adobe Magento.
A continuación, se detallan los CVEs calificados como críticos o altos, junto con el tipo de vulnerabilidad que suponen, así como el impacto ocasionado, ya que el fabricante no ha revelado los detalles técnicos y estas no han sido aún registradas en la base de datos del NIST.
CVE |
Criticidad |
Tipo de vulnerabilidad |
Impacto |
CVE-2020-9555 |
CRÍTICA |
Desbordamiento de buffer de pila |
Ejecución de código arbitrario |
CVE-2020-9562 CVE-2020-9563 |
CRÍTICA |
Desbordamiento de heap |
Ejecución de código arbitrario |
CVE-2020-9568 |
CRÍTICA |
Corrupción de memoria |
Ejecución de código arbitrario |
CVE-2020-9553 CVE-2020-9557 CVE-2020-9558 |
ALTA |
Lectura fuera de los límites |
Divulgación de información |
CVE-2020-9554 CVE-2020-9556 CVE-2020-9559 CVE-2020-9560 CVE-2020-9561 CVE-2020-9564 CVE-2020-9565 CVE-2020-9569 |
CRÍTICA |
Escritura fuera de los límites |
Ejecución de código arbitrario |
CVE-2020-9566 CVE-2020-9567 |
CRÍTICA |
Uso de la memoria liberada |
Ejecución de código arbitrario |
CVE-2020-9570 CVE-2020-9571 CVE-2020-9572 CVE-2020-9573 CVE-2020-9574 |
CRÍTICA |
Corrupción de memoria |
Ejecución de código arbitrario |
CVE-2020-9576 |
CRÍTICA |
Inyección de comando |
Ejecución de código arbitrario |
CVE-2020-9577 |
ALTA |
Cross-site scripting (XSS) |
Divulgación de información |
CVE-2020-9578 |
CRÍTICA |
Inyección de comando |
Ejecución de código arbitrario |
CVE-2020-9579 |
CRÍTICA |
Bypass de mitigación de seguridad |
Ejecución de código arbitrario |
CVE-2020-9580 |
CRÍTICA |
Bypass de mitigación de seguridad |
Ejecución de código arbitrario |
CVE-2020-9581 |
ALTA |
cross-site scripting (XSS) |
Divulgación de información |
CVE-2020-9582 |
CRÍTICA |
Inyección de comando |
Ejecución de código arbitrario |
CVE-2020-9583 |
CRÍTICA |
Inyección de comando |
Ejecución de código arbitrario |
CVE-2020-9584 |
ALTA |
cross-site scripting (XSS) |
Divulgación de información |
CVE-2020-9588 |
ALTA |
Diferencia de tiempo de procesamiento |
Bypass de verificación de firma |
Recursos afectados:
- Adobe Bridge versiones anteriores a 10.0.1.
- Adobe Illustrator 2020 versiones anteriores a 24.0.2.
- Adobe Magento:
- Magento Commerce versiones anteriores a 2.3.4.
- Magento Open Source versiones anteriores a 2.3.4.
- Magento Commerce versiones anteriores a 2.2.11. Las versiones Magento 2.2.x dejaron de recibir soporte el 32 de diciembre de 2019.
- Magento Open Source versiones anteriores a 2.2.11. Las versiones Magento 2.2.x dejaron de recibir soporte el 32 de diciembre de 2019.
- Magento Enterprise Edition versiones anteriores a 1.14.4.4.
- Magento Community Edition versiones anteriores a 1.9.4.4.
Solución a la vulnerabilidad:
- Adobe Bridge 10.0.4
https://www.adobe.com/products/bridge.html
- Adobe Illustrator 2020 24.1.2
https://www.adobe.com/creativecloud/catalog/desktop.html
- Adobe Magento:
- Magento Commerce 2.3.4-p2
https://devdocs.magento.com/guides/v2.3/release-notes/bk-release-notes.html
- Magento Open Source 2.3.4-p2
https://devdocs.magento.com/guides/v2.3/release-notes/bk-release-notes.html
- Magento Commerce 2.3.5-p1
https://devdocs.magento.com/guides/v2.3/release-notes/release-notes-2-3-5-commerce.html
- Magento Open Source 2.3.5-p1
https://devdocs.magento.com/guides/v2.3/release-notes/release-notes-2-3-5-open-source.html
- Magento Enterprise Edition 1.14.4.5
https://devdocs.magento.com/guides/m1x/ce19-ee114/ee1.14_release-notes.html
- Magento Community Edition 1.9.4.5
https://devdocs.magento.com/guides/m1x/ce19-ee114/ce1.9_release-notes.html
Recomendaciones
El CERT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Referencias: