Beveiligingsadvies van Adobe

Beveiligingsupdates beschikbaar voor Adobe Experience Manager | APSB22-40

Bulletin-id

Publicatiedatum

Prioriteit

APSB22-40

13 september 2022

3

Samenvatting

Adobe heeft updates uitgebracht voor Adobe Experience Manager (AEM). Deze updates lossen kwetsbaarheden op die zijn beoordeeld als Belangrijk.  Misbruik van deze kwetsbaarheden kan leiden tot uitvoering willekeurige code en het omzeilen van beveiligingsfuncties.

Van toepassing op de volgende productversies

Product Versie Platform
Adobe Experience Manager (AEM)
AEM Cloud Service (CS)
Alles
6.5.13.0 en eerdere versies 
Alles

Oplossing

Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies:

Product

Versie

Platform

Prioriteit

Beschikbaarheid

Adobe Experience Manager (AEM) 
AEM Cloud Service (CS)
Alles 3 Releaseopmerkingen
6.5.14.0 
Alles

3

Release-opmerkingen bij AEM 6.5-servicepakket 
Opmerking:

Klanten die op Adobe Experience Manager's Cloud Service draaien, ontvangen automatisch updates die nieuwe functies bevatten, evenals bugfixes voor beveiliging en functionaliteit.  

Opmerking:

Neem contact op met de klantenservice van Adobe voor hulp bij versie 6.4, 6.3 en 6.2 van AEM.

Details van kwetsbaarheid

Categorie van kwetsbaarheid

Impact van kwetsbaarheid

Ernst

CVSS-basisscore 

CVE-nummer 

Scripts die verwijzen naar andere sites (XSS)

(CWE-79)

Uitvoering van willekeurige code

Belangrijk

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30677

Scripts die verwijzen naar andere sites (XSS)

(CWE-79)

Uitvoering van willekeurige code

Belangrijk

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30678

Scripts die verwijzen naar andere sites (XSS)

(CWE-79)

Uitvoering van willekeurige code

Belangrijk

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30680

Cross-site scripting (opgeslagen XSS) (CWE-79)

Uitvoering van willekeurige code

Belangrijk

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30681

Cross-site scripting (opgeslagen XSS) (CWE-79)

Uitvoering van willekeurige code

Belangrijk

6.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

CVE-2022-30682

Schending van de principes van Secure Design (CWE-657)

Omzeiling van beveiligingsfunctie

Belangrijk

5.3

CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N

CVE-2022-30683

Cross-site Scripting (gereflecteerde XSS) (CWE-79)

Uitvoering van willekeurige code

Belangrijk

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30684

Cross-site Scripting (gereflecteerde XSS) (CWE-79)

Uitvoering van willekeurige code

Belangrijk

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30685

Cross-site Scripting (gereflecteerde XSS) (CWE-79)

Uitvoering van willekeurige code

Belangrijk

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30686

Cross-site Scripting (gereflecteerde XSS) (CWE-79)

Uitvoering van willekeurige code

Belangrijk

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-35664

Cross-site Scripting (gereflecteerde XSS) (CWE-79)

Uitvoering van willekeurige code

Belangrijk

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-34218

Cross-site Scripting (gereflecteerde XSS) (CWE-79)

Uitvoering van willekeurige code

Belangrijk

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-38438

Cross-site Scripting (gereflecteerde XSS) (CWE-79)

Uitvoering van willekeurige code

Belangrijk

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-38439

Updates voor afhankelijkheden

Afhankelijkheid
Impact van kwetsbaarheid
Van toepassing op de volgende versies
xmlgraphics
Escalatie van bevoegdheden

AEM CS  

AEM 6.5.9.0 en eerdere versies 

ionetty
Escalatie van bevoegdheden

AEM CS  

AEM 6.5.9.0 en eerdere versies 

Dankbetuigingen

Adobe bedankt de volgende personen voor het melden van deze problemen en voor de samenwerking met Adobe om onze klanten te helpen beschermen: 

  • Jim Green (green-jam) --CVE-2022-30677, CVE-2022-30678, CVE-2022-30680, CVE-2022-30681, CVE-2022-30682, CVE-2022-30683, CVE-2022-30684, CVE-2022-30685, CVE-2022-30686, CVE-2022-35664,  CVE-2022-34218, CVE-2022-38438, CVE-2022-38439

Revisies

21 September 2022 - CVE details toegevoegd voor CVE-2022-38438 en CVE-2022-38439

14 december 2021: Bijgewerkte bevestiging voor CVE-2021-43762

16 december 2021: prioriteitsniveau van bulletin gecorrigeerd naar 2

29 december 2021: Bijgewerkte dankbetuiging voor CVE-2021-40722


Ga voor meer informatie naar https://helpx.adobe.com/nl/security.html of stuur een e-mail naar PSIRT@adobe.com.

 Adobe

Krijg sneller en gemakkelijker hulp

Nieuwe gebruiker?