Boletín de seguridad de Adobe

Buscar

Actualizaciones de seguridad disponibles para Adobe Experience Manager | APSB24-05

ID del boletín

Fecha de publicación

Prioridad

APSB24-05

12 de marzo de 2024

3

Resumen

Adobe ha publicado actualizaciones para Adobe Experience Manager (AEM). Estas actualizaciones solucionan vulnerabilidades clasificadas como importantes y moderadas. El aprovechamiento de estas vulnerabilidades podría dar lugar a la ejecución arbitraria de código y la omisión de la función de seguridad.

Versión afectada del producto

Producto Versión Plataforma
Adobe Experience Manager (AEM)
 AEM Cloud Service (CS)
 Todas
6.5.19.0 y versiones anteriores 
 Todas

Solución

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:

Producto

Versión

Plataforma

Prioridad

Disponibilidad
Adobe Experience Manager (AEM) 
 AEM Cloud Service versión 2024.03 
 Todas 3 Notas de la versión
6.5.20.0 Todas

3

 Notas de la versión de AEM 6.5 Service Pack 
Nota:

Los clientes que ejecuten en Cloud Service de Adobe Experience Manager recibirán actualizaciones automáticamente con nuevas funciones, así como correcciones de errores de seguridad y funcionalidad.  

Nota:

Consideraciones de seguridad de Experience Manager:

Consideraciones de seguridad de AEM as a Cloud Service
Paquete de refuerzo de permisos anónimos

Nota:

Póngase en contacto con el servicio de atención al cliente de Adobe para obtener ayuda relacionada con AEM 6.4, 6.3 y 6.2.

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad
 Impacto de la vulnerabilidad
 Gravedad
 Puntuación base CVSS
 Vector CVSS
 Número CVE
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26028
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26030
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26031
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26032
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26033
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26034
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26035
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26038
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26040
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26041
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26042
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26043
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26044
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26045
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 4.5 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N CVE-2024-26050
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26052
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26056
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26059
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26061
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26062
Exposición de información (CWE-200) Omisión de la función de seguridad Importante 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVE-2024-26063
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26064
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26065
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26067
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26069
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26073
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26080
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26094
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26096
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26102
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26103
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26104
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26105
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26106
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26107
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26118
Control de acceso incorrecto (CWE-284) Omisión de la función de seguridad Importante 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVE-2024-26119
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26120
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26124
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26125
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-20760
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-20768
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante
 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
 CVE-2024-20799
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante
 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
 CVE-2024-20800
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante
 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26101
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante
 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-41877
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria
 Importante
 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-41878
Ejecución de scripts en sitios múltiples (XSS almacenadas) (CWE-79)
 Ejecución de código arbitraria Moderado 3.4 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:N/A:N CVE-2024-26051
Nota:

Si un cliente utiliza Apache httpd en un proxy con una configuración no predeterminada, es posible que se vea afectado por CVE-2023-25690 - obtenga más información aquí: https://httpd.apache.org/security/vulnerabilities_24.html

Reconocimientos

Adobe desea dar las gracias a las siguientes personas por informar sobre estos problemas y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:  

  • Lorenzo Pirondini -- CVE-2024-26028, CVE-2024-26032, CVE-2024-26033, CVE-2024-26034, CVE-2024-26035, CVE-2024-26038, CVE-2024-26040, CVE-2024-26041, CVE-2024-26042, CVE-2024-26043, CVE-2024-26044, CVE-2024-26045, CVE-2024-26052, CVE-2024-26059, CVE-2024-26064, CVE-2024-26065, CVE-2024-26073, CVE-2024-26080, CVE-2024-26124, CVE-2024-26125, CVE-2024-20768, CVE-2024-20800
  • Jim Green (green-jam): CVE-2024-26030, CVE-2024-26031, CVE-2024-26056, CVE-2024-26061, CVE-2024-26062, CVE-2024-26067, CVE-2024-26069, CVE-2024-26094, CVE-2024-26096, CVE-2024-26101, CVE-2024-26102, CVE-2024-26103, CVE-2024-26104, CVE-2024-26105, CVE-2024-26106, CVE-2024-26107, CVE-2024-26118, CVE-2024-26119, CVE-2024-26120, CVE-2024-20760, CVE-2024-20799, CVE-2024-41877, CVE-2024-41878
  • Akshay Sharma (anonymous_blackzero) -- CVE-2024-26050, CVE-2024-26051

NOTA: Adobe tiene un programa privado de detección de errores con HackerOne (solo con invitación). Si le interesa trabajar con Adobe como investigador de seguridad externo, rellene este formulario para los siguientes pasos.

Revisiones

21 de agosto de 2024: Se han añadido CVE-2024-41877 y CVE-2024-41878

20 de junio de 2024: Se ha añadido CVE-2024-26101

12 de junio de 2024: Eliminación de CVE-2024-26126 y CVE-2024-26127

3 de abril de 2024: Se ha añadido CVE-2024-20800

1 de abril de 2024: Se ha añadido CVE-2024-20799

18 de marzo de 2024: Se ha eliminado CVE-2024-26048

Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com.

Obtén ayuda de forma más rápida y sencilla

¿Nuevo usuario?

Vínculos rápidos

Ver todos los planes Administrar los planes
Ver vínculos rápidos
Ocultar vínculos rápidos