Vulnérabilité dans Ops CLI d’Adobe
Date de publication :
CVE-2021-40720[Score CVSS v3.1: 9.8]
Une vulnérabilité de type « désérialisation de données non sécurisée » a été découverte. Celle-ci est, située au niveau de la fonction « checkout_repo » du logiciel Ops CLI d’Adobe. Certaines librairies Java permettent de transformer un objet en un flux d’octets et vice-versa. Ces processus sont appelés sérialisation et désérialisation. Il est souvent pratique de sérialiser des objets pour la communication ou de les enregistrer pour une utilisation ultérieure. Cependant, les données ou le code désérialisé peuvent souvent être modifiés sans utiliser les fonctions d'accès fournies s'il n'utilise pas la cryptographie pour se protéger.
En forgeant un fichier malveillant, un attaquant pourrait exécuter du code arbitraire sur un système vulnérable.
OPS cli est un module permettant d’ajouter des fonctionnalités supplémentaires à un programme existant.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
Criticité
- Score CVSS v3.1: 9.8
CVE
Composants vulnérables.
- La version 2.0.4 d’Adobe ops-cli, ainsi que les versions antérieures de toutes les plateformes sont vulnérables.
Solutions ou recommandations
- Effectuer la mise à jour 2.0.5d’Adobe ops-cli.