La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA, por sus siglas en inglés) agregó el martes una vulnerabilidad de alta gravedad en Adobe Acrobat Reader a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV, por sus siglas en inglés), citando evidencia de explotación activa.
Rastreada como CVE-2023-21608 (puntuación CVSS: 7.8), la vulnerabilidad se ha descrito como un error de uso posterior a la liberación que se puede explotar para lograr la ejecución remota de código (RCE) con los privilegios del usuario actual.
Adobe lanzó un parche para la falla en enero de 2023. A los investigadores de seguridad de HackSys, Ashfaq Ansari y Krishnakant Patil, se les atribuye el descubrimiento y la notificación de la falla.
Las siguientes versiones del software se ven afectadas:
- Acrobat DC: 22.003.20282 (Win), 22.003.20281 (Mac) y versiones anteriores (corregido en 22.003.20310)
- Acrobat Reader DC: 22.003.20282 (Win), 22.003.20281 (Mac) y versiones anteriores (corregido en 22.003.20310)
- Acrobat 2020: 20.005.30418 y versiones anteriores (corregido en 20.005.30436)
- Acrobat Reader 2020 – 20.005.30418 y versiones anteriores (corregido en 20.005.30436)
Actualmente se desconocen los detalles sobre la naturaleza de la explotación y los actores de amenazas que pueden estar abusando de CVE-2023-21608. A finales de enero de 2023 se puso a disposición un exploit de prueba de concepto (PoC) para la falla.
CVE-2023-21608 es también la segunda vulnerabilidad de Adobe Acrobat y Reader que ha sido explotada este año después de CVE-2023-26369, un problema de escritura fuera de los límites que podría provocar la ejecución de código al abrir un documento PDF especialmente diseñado.
