CVE-2021-44714

Adobe Acrobat Reader Missing Custom Protocols in Warning Message Prompts

CVSS 2.5 LOWEPSS 2.5%CWE-657

En resumen

Adobe Acrobat Reader no advierte a los usuarios sobre protocolos personalizados en PDFs, permitiendo que atacantes engañen a los usuarios para permitir acciones potencialmente peligrosas. El diálogo de advertencia está incompleto, facilitando la evasión de controles de seguridad por engaño.

Detalle técnico

Las versiones 21.007.20099 y anteriores de Acrobat Reader DC carecen de advertencias sobre protocolos personalizados en los cuadros de seguridad (CWE-657: Violación de Principios de Diseño Seguro), permitiendo que atacantes creen PDFs maliciosos que engañen a los usuarios para otorgar permisos. La explotación requiere interacción del usuario (hacer clic en 'permitir' en la advertencia incompleta), pero la omisión de información de protocolo en el diálogo debilita la barrera de seguridad prevista.

Resumen generado y traducido por IA a partir de la descripción oficial.

Acrobat Reader DC version 21.007.20099 (and earlier), 20.004.30017 (and earlier) and 17.011.30204 (and earlier) are affected by a Violation of Secure Design Principles that could lead to a Security feature bypass. Acrobat Reader DC displays a warning message when a user clicks on a PDF file, which could be used by an attacker to mislead the user. In affected versions, this warning message does not include custom protocols when used by the sender. User interaction is required to abuse this vulnerability as they would need to click 'allow' on the warning message of a malicious file.

CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N

Productos afectados

Adobe · Acrobat Reader

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://helpx.adobe.com/security/products/acrobat/apsb22-01.html