Adobe は、自社の内部システムにおける脆弱性の重要性を軽視しようとした。
Vulnerability Laboratoryという組織のバグハンターは、Photoshopの巨人である同社の従業員専用主要データベースシステムの1つにリモートコード実行の脆弱性を発見したと主張した。この脆弱性は土曜日にようやく修正された。リモートコード実行の脆弱性は、ほぼ例外なく「重大」と評価されている。
しかし、この件に関してEl Regからの問い合わせに対し、Adobe社は、この欠陥ははるかに深刻度の低い脆弱性であると主張した。
「これは、イベントマーケティング登録用のフォームに存在したクロスサイトスクリプティングのバグでした」とAdobeの広報担当者は本日、 El Regに語った。「その後、修正を実施しました。」
Vulnerability Laboratory は Adobe の見解に異議を唱え、欠陥の重大性に関する自社の評価を堅持している。その評価が正しければ、Common Vulnerability Scoring System でスコア 6.4 となる。
「当初、エンジニアたちは、これはXSS(クロスサイトスクリプティング)によるマーケティングシステムのみに影響を与えると考えていたが、結局そうではなかった」と脆弱性研究所のベンジャミン・クンツ・メジリ氏はエル・レグ紙に語った。
「多くのドメインが影響を受け、電子メールサービスも影響を受け、バックエンドのデータ処理の一部も影響を受けました。Adobeが攻撃の影響を理解できるよう、最後に(仕組みを示すスキームが)提供されました。」
メジリ氏はさらに、「任意のコードインジェクションは、彼らのインフラの複数の部分で確実にコード実行につながる」と付け加えた。同氏はThe Regに対し、調査中、Vulnerability Labチームは当然ながらAdobeのサーバーへの不正アクセスを試みなかったものの、発見したバグを通じて不正アクセスが行われる可能性はあると考えたと語った。
![Adobe 内部システムの脆弱性 [出典: Vulnerability Laboratory]](https://image.brawte.com/anejbkmn/ad/a7/adobe_internal_systems_bug.webp)
Vulnerability Laboratoryによると、Adobeの内部システムの脆弱性を攻撃する方法
Vulnerability Labは2月にこの問題についてAdobeに初めて通知し、それ以来5ヶ月間、同社と協力を続けてきました。Adobeは7月14日土曜日にこの脆弱性を修正し、Vulnerability Labは木曜日にようやく調査結果を公表することができました。®
