Adobe Campaign Classic (ACC) w wersjach 7.4.3 build 9394 i wcześniejszych zawiera podatność typu Server-Side Request Forgery (SSRF), która może prowadzić do eskalacji uprawnień. Podatność otrzymała maksymalny wynik CVSS 10.0, co klasyfikuje ją jako krytyczną.
▸ Pokaż oryginał (EN)
Adobe Campaign Classic (ACC) versions 7.4.3 build 9394 and earlier are affected by a Server-Side Request Forgery (SSRF) vulnerability that could result in privilege escalation. Exploitation of this issue does not require user interaction. Scope is changed.
Podatność polega na możliwości wymuszenia przez nieuwierzytelnionego atakującego wykonania przez serwer żądań HTTP do dowolnych zasobów sieciowych (SSRF). Eksploitacja nie wymaga interakcji użytkownika ani żadnych uprawnień wstępnych (PR:N, UI:N). Wektor wskazuje na zmianę zakresu (Scope Changed), co oznacza, że skutki ataku mogą wykraczać poza bezpośrednio podatny komponent i obejmować inne systemy w infrastrukturze.
Atakujący może uzyskać eskalację uprawnień oraz pełną kompromitację poufności, integralności i dostępności systemu, potencjalnie obejmując swoim zasięgiem zasoby spoza pierwotnie atakowanego komponentu.
Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z referencjami: https://helpx.adobe.com/security/products/campaign/apsb26-66.html
Adobe Campaign Classic (ACC) w wersji 7.4.3 build 9394 oraz wszystkich wcześniejszych wersjach.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H