As atualizações mais recentes do Patch Tuesday da Adobe corrigem 123 vulnerabilidades em 11 produtos.
Do total, 57 vulnerabilidades foram corrigidas no Adobe Experience Manager. A grande maioria são falhas de Cross-Site Scripting (XSS) que permitem execução de código arbitrário, e três problemas foram descritos como validação inadequada de entrada, o que pode levar ao contorno de recursos de segurança.
Duas falhas críticas com pontuação 10 no Sistema de Pontuação de Vulnerabilidades Comuns (CVSS), ambas permitindo execução de código arbitrário, foram corrigidas no Adobe Campaign Classic.
No ColdFusion, a Adobe resolveu sete vulnerabilidades, incluindo problemas de severidade crítica e alta que podem permitir execução de código arbitrário, escalonamento de privilégios e contorno de recursos de segurança.
Vinte falhas de segurança foram corrigidas no Acrobat e Reader para Windows e macOS, incluindo bugs de execução de código, Negação de Serviço (DoS) e exposição de memória.
Vulnerabilidades de execução de código de severidade crítica e alta foram corrigidas pela Adobe no Dreamweaver, Format Plugins, Experience Manager Forms, InDesign, InCopy e Substance 3D Sampler.
A Adobe também corrigiu diversas falhas de DoS no Content Credentials SDK (Kit de Desenvolvimento de Software).
A gigante de software afirma não ter conhecimento de explorações em ambiente real (in-the-wild) direcionadas a essas vulnerabilidades e atribuiu uma classificação de prioridade 3 à maioria das falhas, indicando que não espera que sejam aproveitadas em ataques maliciosos.
Apenas as vulnerabilidades do ColdFusion e do Campaign Classic receberam classificação de prioridade 1, indicando que podem acabar sendo exploradas em ataques.
É sabido que o ColdFusion tem sido alvo de agentes de ameaças, inclusive em campanhas recentes.
