Adobe产品多重漏洞可能导致任意代码执行

本文详细分析了Adobe多款产品中存在的安全漏洞,包括越界写入、堆栈溢出等类型,可能导致攻击者执行任意代码,并提供了完整的技术修复建议和防护措施。

Adobe产品多重漏洞可能导致任意代码执行

MS-ISAC 公告编号:2025-015
发布日期:2025年2月11日

概述

在Adobe产品中发现多个漏洞,其中最严重的漏洞可能允许任意代码执行。成功利用最严重的漏洞可以在已登录用户的上下文中执行任意代码。根据用户的权限,攻击者可以安装程序、查看、更改或删除数据,或创建具有完全用户权限的新帐户。在系统上配置较少用户权限的帐户用户可能比具有管理用户权限的用户受到的影响小。

威胁情报

目前没有关于这些漏洞在野外被利用的报告。

受影响的系统

  • Adobe InDesign ID20.0及更早版本
  • Adobe InDesign ID19.5.1及更早版本
  • Adobe Commerce 2.4.7-beta1
  • Adobe Commerce 2.4.7-p3及更早版本
  • Adobe Commerce 2.4.6-p8及更早版本
  • Adobe Commerce 2.4.5-p10及更早版本
  • Adobe Commerce 2.4.4-p11及更早版本
  • Adobe Commerce B2B 1.5.0及更早版本
  • Adobe Commerce B2B 1.4.2-p3及更早版本
  • Adobe Commerce B2B 1.3.5-p8及更早版本
  • Adobe Commerce B2B 1.3.4-p10及更早版本
  • Adobe Commerce B2B 1.3.3-p11及更早版本
  • Magento Open Source 2.4.7-beta1
  • Magento Open Source 2.4.7-p3及更早版本
  • Magento Open Source 2.4.4-p11及更早版本
  • Adobe Substance 3D Stager 3.1.0及更早版本
  • Adobe InCopy 20.0及更早版本
  • Adobe InCopy 19.5.1及更早版本
  • Illustrator 2025 29.1及更早版本
  • Illustrator 2024 28.7.3及更早版本
  • Photoshop Elements 2025.0 [build: 20240918.PSE.cae27345, 20240918.PSE.d3263bae (Mac ARM)]

风险等级

  • 政府机构
    • 大中型政府实体:高
    • 小型政府实体:中
  • 企业
    • 大中型企业实体:高
    • 小型企业实体:中
  • 家庭用户:低

技术摘要

在Adobe产品中发现多个漏洞,其中最严重的漏洞可能允许任意代码执行。这些漏洞的详细信息如下:

策略:执行(TA0002)
技术:客户端执行利用(T1203)

Adobe InDesign:

  • 越界写入(CVE-2025-21157、CVE-2025-21121)
  • 整数下溢(环绕)(CVE-2025-21158)
  • 基于堆的缓冲区溢出(CVE-2025-21123)
  • 越界读取(CVE-2025-21124)
  • NULL指针解引用(CVE-2025-21125)
  • 输入验证不当(CVE-2025-21126)

Substance 3D Stager:

  • NULL指针解引用(CVE-2025-21155)

Adobe InCopy:

  • 整数下溢(环绕)(CVE-2025-21156)

Adobe Illustrator:

  • 释放后使用(CVE-2025-21159)
  • 整数下溢(环绕)(CVE-2025-21160)
  • 基于堆栈的缓冲区溢出(CVE-2025-21163)

Substance 3D Designer:

  • 越界写入(CVE-2025-21161)

Adobe Commerce:

  • 授权不正确(CVE-2025-24407、CVE-2025-24409、CVE-2025-24434、CVE-2025-24420、CVE-2025-24421、CVE-2025-24419)
  • 信息泄露(CVE-2025-24408)
  • 访问控制不当(CVE-2025-24411、CVE-2025-24422、CVE-2025-24423、CVE-2025-24435、CVE-2025-24436、CVE-2025-24437、CVE-2025-24424、CVE-2025-24426、CVE-2025-24427、CVE-2025-24429)
  • 跨站脚本(CVE-2025-24410、CVE-2025-24412、CVE-2025-24438、CVE-2025-24413、CVE-2025-24414、CVE-2025-24415、CVE-2025-24416、CVE-2025-24417、CVE-2025-24428)
  • 路径名限制不当(路径遍历)(CVE-2025-24406)
  • 安全设计原则违反(CVE-2025-24418)
  • 业务逻辑错误(CVE-2025-24425)
  • 检查时间使用时间(TOCTOU)竞争条件(CVE-2025-24430、CVE-2025-24432)

Adobe Photoshop Elements:

  • 在权限不正确的目录中创建临时文件(CVE-2025-21162)

建议措施

我们建议采取以下行动:

  1. 应用更新:在适当测试后立即将Adobe提供的稳定通道更新应用于易受攻击的系统。(M1051:更新软件)

    • 保障措施7.1:建立和维护漏洞管理流程
    • 保障措施7.2:建立和维护修复流程
    • 保障措施7.6:执行外部暴露企业资产的自动化漏洞扫描
    • 保障措施7.7:修复检测到的漏洞

  2. 应用最小权限原则:对所有系统和服务应用最小权限原则。以非特权用户(无管理权限)运行所有软件,以减少成功攻击的影响。(M1026:特权帐户管理)

    • 保障措施4.7:管理企业资产和软件上的默认帐户
    • 保障措施5.4:将管理员权限限制为专用管理员帐户

  3. 限制网络内容:限制某些网站的使用,阻止下载/附件,阻止JavaScript,限制浏览器扩展等。(M1021:限制基于网络的内容)

    • 保障措施2.3:处理未经授权的软件
    • 保障措施2.7:允许列表授权的脚本
    • 保障措施9.3:维护和执行基于网络的URL过滤器
    • 保障措施9.6:阻止不必要的文件类型

  4. 利用保护:使用功能检测和阻止可能导致或指示软件利用发生的条件。(M1050:利用保护)

    • 保障措施10.5:启用反利用功能

  5. 执行预防:通过应用程序控制和/或脚本阻止来阻止在系统上执行代码。(M1038:执行预防)

    • 保障措施2.5:允许列表授权的软件
    • 保障措施2.6:允许列表授权的库
    • 保障措施2.7:允许列表授权的脚本

  6. 端点行为预防:使用功能防止在端点系统上发生可疑行为模式。(M1040:端点行为预防)

    • 保障措施13.2:部署基于主机的入侵检测解决方案
    • 保障措施13.7:部署基于主机的入侵防御解决方案

  7. 渗透测试

    • 保障措施16.13:进行应用程序渗透测试
    • 保障措施18.1:建立和维护渗透测试程序
    • 保障措施18.2:执行定期外部渗透测试
    • 保障措施18.3:修复渗透测试发现的问题

参考链接

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次