CVE-2022-28244

Adobe Acrobat Reader DC CSP Bypass Leads To Privilege Escalation

CVSS 6.3 MEDIUMEPSS 3.4%CWE-657

En resumen

Adobe Acrobat Reader DC tiene una falla que permite a los atacantes eludir las políticas de seguridad diseñadas para prevenir solicitudes no autorizadas entre dominios. Un atacante puede engañar a un usuario para que abra un archivo PDF malicioso, que luego envía solicitudes indeseadas a otros sitios web en nombre de la víctima.

Detalle técnico

CVE-2022-28244 implica un bypass de Content Security Policy (CSP) en Acrobat Reader DC mediante violación de principios de diseño seguro. El vector de ataque requiere interacción del usuario (apertura de un PDF manipulado en servidor del atacante) y permite la ejecución de solicitudes arbitrarias entre orígenes. El impacto habilita acciones no autorizadas contra dominios de terceros en el contexto de seguridad de la víctima.

Resumen generado y traducido por IA a partir de la descripción oficial.

Acrobat Reader DC versions 22.001.20085 (and earlier), 20.005.3031x (and earlier) and 17.012.30205 (and earlier) is affected by a violation of secure design principles through bypassing the content security policy, which could result in an attacker sending arbitrarily configured requests to the cross-origin attack target domain. Exploitation requires user interaction in which the victim needs to access a crafted PDF file on an attacker's server.

CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N

Productos afectados

Adobe · Acrobat Reader

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://helpx.adobe.com/security/products/acrobat/apsb22-16.html