- A+
这些补丁是Adobe本月第二次计划外更新的一部分。
Adobe已针对其Experience Manager平台评定为“重要”的漏洞发布了计划外补丁,允许开发人员创建移动应用,社交活动和登录页面。
总的来说,Adobe在其Adobe Experience Manager中发布了三个修复程序,包括“重要”缺陷(CVE-2018-19726)和“中等”缺陷(CVE-2018-19727),以及“重要”漏洞(CVE-2018- 19724)在其Adobe Experience Manager表单中 。
Adobe体验管理器平台中的重要漏洞会影响产品的版本6.0到6.4。 该漏洞是存储的跨站点脚本故障,可能导致敏感的信息泄露。
Imperva的研究人员称,存储的跨站点脚本是最危险的跨站脚本类型。 当Web应用程序收集来自用户的潜在恶意输入时,会发生此类攻击,然后将该输入存储在数据存储中供以后使用。 该攻击可能被用于劫持其他用户的浏览器,捕获敏感信息或其他恶意用途。
信用:Imperva
Adobe表示,此更新是优先事项2,这意味着它可以解决历史上风险较高的产品中的缺陷 - 但目前还没有已知的漏洞利用。
同时,中等级别的严重性是反映的跨站点脚本漏洞,可能导致敏感的信息泄露。 此缺陷特别影响Adobe Experience Manager版本6.3和6.4。
当攻击者在单个HTTP响应中注入浏览器可执行代码时,会发生反射的跨站点脚本。 这种类型的注入攻击不太严重,因为它不存储在应用程序本身中。 相反,攻击是非持久性的,只会影响打开恶意制作的第三方网页的用户。
在Experience Manager Forms前端,Adobe发布了针对重要存储的跨站点脚本缺陷的修复程序。 这些表单通常用于大型企业,通过将其复制到内容管理系统来创建和重用各种数字表单。
“Adobe已经发布了Adobe Experience Manager Forms的安全更新,”该公司在其发布中表示。 “这些更新解决了存储的跨站点脚本漏洞,该漏洞被评为重要,可能导致敏感的信息泄露。”
该缺陷特别影响Adobe Experience Manager Forms的版本6.2,6.3和6.4,并且也是优先级2更新。 研究员亚当威拉德(Adam Willard)因报道这一缺陷而受到赞誉。
Adobe的最新修补程序是在1月定期更新之后发布的,它发布了针对其Adobe Digital Edition和Adobe Connect产品中被评为重要的两个错误的补丁。 这两个重要的漏洞包括Adobe电子书阅读器软件程序Digital Edition中的信息泄露错误; 以及其演示文稿和网络会议软件Adobe Connect中的会话令牌暴露错误。
在1月的另一个计划外更新中 ,该公司修复了Adobe Acrobat和Reader for Windows和MacOS中的两个关键缺陷。 可以成功利用CVE-2018-16011和CVE-2018-19725这两个关键漏洞在当前用户的上下文中执行任意代码执行 。
