ID del boletín
Última actualización el
28 mar. 2023
Actualizaciones de seguridad disponibles para Adobe Experience Manager | APSB23-18
|
|
Fecha de publicación |
Prioridad |
|---|---|---|
|
APSB23-18 |
14 de marzo de 2023 |
3 |
Resumen
Adobe ha publicado actualizaciones para Adobe Experience Manager (AEM). Estas actualizaciones solucionan vulnerabilidades clasificadas como importantes y moderadas. El aprovechamiento de estas vulnerabilidades podría dar lugar a la ejecución arbitraria de código, la escalación de privilegios y la omisión de la función de seguridad.
Versión afectada del producto
| Producto | Versión | Plataforma |
|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Todas |
| 6.5.15.0 y versiones anteriores |
Todas |
Solución
Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:
Producto |
Versión |
Plataforma |
Prioridad |
Disponibilidad |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service versión 2023.1 |
Todas | 3 | Notas de la versión |
| 6.5.16.0 |
Todas |
3 |
Notas de la versión de AEM 6.5 Service Pack |
Nota:
Los clientes que ejecuten en Cloud Service de Adobe Experience Manager recibirán actualizaciones automáticamente con nuevas funciones, así como correcciones de errores de seguridad y funcionalidad.
Nota:
Póngase en contacto con el servicio de atención al cliente de Adobe para obtener ayuda relacionada con AEM 6.4, 6.3 y 6.2.
Detalles sobre la vulnerabilidad
|
Categoría de vulnerabilidad |
Impacto de la vulnerabilidad |
Gravedad |
Puntuación base CVSS |
Número CVE |
|
|---|---|---|---|---|---|
|
Ejecución de scripts en sitios múltiples (XSS reflejado) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-22252 |
|
Ejecución de scripts en sitios múltiples (XSS reflejado) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-22253 |
|
Ejecución de scripts en sitios múltiples (XSS reflejado) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-22254 |
|
Redirección de URL a sitio no fiable ('Open Redirect') (CWE-601) |
Omisión de la función de seguridad |
Moderada |
3.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-22256 |
|
Redirección de URL a sitio no fiable ('Open Redirect') (CWE-601) |
Omisión de la función de seguridad |
Moderada |
3,5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-22257 |
|
Redirección de URL a sitio no fiable ('Open Redirect') (CWE-601) |
Omisión de la función de seguridad |
Moderada |
3.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-22258 |
|
Redirección de URL a sitio no fiable ('Open Redirect') (CWE-601) |
Omisión de la función de seguridad |
Moderada |
3,5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-22259 |
|
Redirección de URL a sitio no fiable ('Open Redirect') (CWE-601) |
Omisión de la función de seguridad |
Moderada |
3.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-22260 |
|
Redirección de URL a sitio no fiable ('Open Redirect') (CWE-601) |
Omisión de la función de seguridad |
Moderada |
3,5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-22261 |
|
Redirección de URL a sitio no fiable ('Open Redirect') (CWE-601) |
Omisión de la función de seguridad |
Moderada |
3.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-22262 |
|
Redirección de URL a sitio no fiable ('Open Redirect') (CWE-601) |
Omisión de la función de seguridad |
Moderada |
3,5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-22263 |
|
Redirección de URL a sitio no fiable ('Open Redirect') (CWE-601) |
Omisión de la función de seguridad |
Moderada |
3.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-22264 |
|
Redirección de URL a sitio no fiable ('Open Redirect') (CWE-601) |
Omisión de la función de seguridad |
Moderada |
3.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-22265 |
|
Redirección de URL a sitio no fiable ('Open Redirect') (CWE-601) |
Omisión de la función de seguridad |
Moderada |
3,5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-22266 |
|
Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-22269 |
|
Criptografía débil para contraseñas (CWE-261) |
Ampliación de privilegios |
Importante |
5.3 |
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-22271 |
|
Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-21615 |
|
Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-21616 |
Nota:
Si un cliente está utilizando Apache httpd en un proxy con una configuración no predeterminada, puede verse afectado por CVE-2023-25690 - obtenga más información aquí: https://httpd.apache.org/security/vulnerabilities_24.html
Nota:
Si un cliente utiliza Apache httpd en un proxy con una configuración no predeterminada, es posible que se vea afectado por CVE-2023-25690 - obtenga más información aquí: https://httpd.apache.org/security/vulnerabilities_24.html
Reconocimientos
Adobe desea dar las gracias a las siguientes personas por informar sobre estos problemas y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:
- Jim Green (green-jam) -- CVE-2023-22252, CVE-2023-22253, CVE-2023-22254, CVE-2023-22256, CVE-2023-22257, CVE-2023-22258, CVE-2023-22259, CVE-2023-22260, CVE-2023-22261, CVE-2023-22262, CVE-2023-22263, CVE-2023-22264, CVE-2023-22265, CVE-2023-22266, CVE-2023-22269, CVE-2023-22271, CVE-2023-21615, CVE-2023-21616
Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com.
