【安全通告】Adobe 12月安全更新

2020-12-09

综述

当地时间12月8日，Adobe官方发布了12月安全更新，修复了Adobe Prelude、Adobe Experience Manager、Adobe Lightroom中的多个漏洞。

官方通告地址：

https://helpx.adobe.com/security.html

漏洞概述：

Adobe Prelude

Adobe发布的Adobe Prelude安全更新，共修复了1个安全漏洞。

Adobe 官方指定以下更新优先级为3级。（优先级定义见下文解决方案中 Adobe优先级评估系统）。

漏洞概括如下：

漏洞类别	漏洞影响	严重程度	CVE编号
不受控搜索路径	任意代码执行	Critical	CVE-2020-24440

关于漏洞的具体影响版本及修复情况，请参考Adobe官方安全通告：

https://helpx.adobe.com/security/products/prelude/apsb20-70.html

Adobe Experience Manager

Adobe发布的Adobe Experience Manager安全更新，共修复了2个安全漏洞。

Adobe 官方指定以下更新优先级为2级。（优先级定义见下文解决方案中 Adobe优先级评估系统）。

漏洞概括如下：

漏洞类别	漏洞影响	严重程度	CVE编号
盲服务器端请求伪造（Blind SSRF）	敏感信息泄露	Important	CVE-2020-24444
存储型跨站脚本	浏览器中执行任意JavaScript	Critical	CVE-2020-24445

关于漏洞的具体影响版本及修复情况，请参考Adobe官方安全通告：

https://helpx.adobe.com/security/products/experience-manager/apsb20-72.html

Adobe Lightroom

Adobe发布的 Adobe Lightroom 安全更新，共修复了1个安全漏洞。

Adobe 官方指定以下更新优先级为3级。（优先级定义见下文解决方案中 Adobe优先级评估系统）。

漏洞概括如下：

漏洞类别	漏洞影响	严重程度	CVE编号
不受控制的搜索路径元素	任意代码执行	Critical	CVE-2020-24447

关于漏洞的具体影响版本及修复情况，请参考Adobe官方安全通告：

https://helpx.adobe.com/security/products/lightroom/apsb20-74.html

解决方案

Adobe官方已发布修复了上述漏洞的新版本，建议用户参考 Adobe优先级评估系统给出的建议修复时间，按时升级防护。

详细信息及操作可参考各产品漏洞部分的官方通告链接。

Adobe优先级评估系统

Adobe优先级评估可帮助客户确定Adobe安全更新的优先级。官方根据相关产品的历史攻击模式，漏洞类型，受影响的平台以及任何可能的缓解措施来确定优先级。

评级	描述
1 级	表示此更新修复的是针对特定产品和平台，已被在野利用的漏洞，或极易成为目标的高风险漏洞。 Adobe 建议管理员尽快安装此更新（比如在72 小时内）。
2 级	表示此更新修复的是历来被攻击风险较高产品中的漏洞，不过当前还未发现利用行为。根据以往的经验，官方认为不会马上遭到利用。 Adobe建议管理员尽快安装更新 (例如在30天内)。
3 级	表示此更新修复的是历来被攻击风险较低产品中的漏洞。Adobe 建议管理员酌情安装更新。

https://helpx.adobe.com/security/severity-ratings.html

声明

本安全公告仅用来描述可能存在的安全问题，海王捕鱼不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，海王捕鱼以及安全公告作者不为此承担任何责任。海王捕鱼拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经海王捕鱼允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。