CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

15/06/2015

XSS en Adobe Connect

Adobe publica una nueva versión de su producto Connect que soluciona dos vulnerabilidades del tipo cross-site scripting.

Riesgo: Alto

Adobe Connect es una solución de conferencia a través de navegador web destinada a la realización de reuniones online, tele-aprendizaje y charlas online (webinars).

Recientemente se han descubierto dos vulnerabilidades de tipo cross-site scripting que podrían permitir a un atacante acceder a las cookies de sesión y realizar acciones haciéndose pasar por la víctima. Las vulnerabilidades son debidas a que no se filtra correctamente el código html introducido por el usuario antes de mostrar los datos en la aplicación.

Sistemas Afectados:

Adobe Connect con versiones anteriores a 9.4

Referencias:

CVE-2015-0343,CVE-2015-0344

Solución:

Actualizar a la nueva versión 9.4

Notas:

Adobe Connect Help/Adobe Connect 9.4 Release Notes: https://helpx.adobe.com/adobe-connect/release-note/connect-94-release-notes.html
XSS vulnerability Adobe Connect 9.3 (CVE-2015-0343): http://seclists.org/fulldisclosure/2015/Jun/35
Adobe Connect: http://www.adobe.com/il_en/products/adobeconnect.html

Fuente: Hispasec una-al-dia

CSIRT-CV