Beveiligingsadvies van Adobe

Zoeken

Beveiligingsupdates beschikbaar voor Adobe Experience Manager | APSB24-05

Bulletin-id

Publicatiedatum

Prioriteit

APSB24-05

12 maart 2024

3

Samenvatting

Adobe heeft updates uitgebracht voor Adobe Experience Manager (AEM). Deze updates verhelpen kwetsbaarheden met de beoordeling Belangrijk en Gemiddeld.  Misbruik van deze kwetsbaarheden kan leiden tot uitvoering willekeurige code en het omzeilen van beveiligingsfuncties.

Van toepassing op de volgende productversies

Product Versie Platform
Adobe Experience Manager (AEM)
 AEM Cloud Service (CS)
 Alles
6.5.19.0 en eerdere versies 
 Alles

Oplossing

Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies:

Product

Versie

Platform

Prioriteit

Beschikbaarheid
Adobe Experience Manager (AEM) 
 AEM Cloud Service versie 2024.03 
 Alles 3 Releaseopmerkingen
6.5.20.0 Alles

3

 Release-opmerkingen bij AEM 6.5-servicepakket 
Opmerking:

Klanten die op Adobe Experience Manager's Cloud Service draaien, ontvangen automatisch updates die nieuwe functies bevatten, evenals bugfixes voor beveiliging en functionaliteit.  

Opmerking:

Beveiligingsoverwegingen voor Experience Manager:

Beveiligingsoverwegingen voor AEM as a Cloud Service
Anonymous Permission Hardening Package

Opmerking:

Neem contact op met de klantenservice van Adobe voor hulp bij versie 6.4, 6.3 en 6.2 van AEM.

Details van kwetsbaarheid

Categorie van kwetsbaarheid
 Impact van kwetsbaarheid
 Ernst
 CVSS-basisscore
 CVSS-vector
 CVE-nummer
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26028
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26030
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26031
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26032
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26033
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26034
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26035
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26038
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26040
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26041
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26042
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26043
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26044
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26045
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 4.5 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N CVE-2024-26050
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26052
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26056
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26059
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26061
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26062
Blootstelling van informatie (CWE-200) Omzeiling van beveiligingsfunctie Belangrijk 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C: CVE-2024-26063
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26064
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26065
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26067
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26069
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26073
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26080
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26094
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26096
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26102
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26103
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26104
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26105
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26106
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26107
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26118
Onjuist toegangsbeheer (CWE-284) Omzeiling van beveiligingsfunctie Belangrijk 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C: CVE-2024-26119
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26120
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26124
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26125
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-20760
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-20768
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk
 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
 CVE-2024-20799
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk
 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
 CVE-2024-20800
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk
 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26101
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk
 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-41877
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Uitvoering van willekeurige code
 Belangrijk
 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-41878
Cross-site scripting (opgeslagen XSS) (CWE-79)
 Willekeurige code-uitvoering Matig 3.4 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:N/A:N CVE-2024-26051
Opmerking:

Als een klant Apache httpd gebruikt in een proxy met een niet-standaard configuratie, kan hij getroffen worden door CVE-2023-25690 - lees hier meer: https://httpd.apache.org/security/vulnerabilities_24.html

Dankbetuigingen

Adobe bedankt de volgende personen voor het melden van deze problemen en voor de samenwerking met Adobe om onze klanten te helpen beschermen: 

  • Lorenzo Pirondini -- CVE-2024-26028, CVE-2024-26032, CVE-2024-26033, CVE-2024-26034, CVE-2024-26035, CVE-2024-26038, CVE-2024-26040, CVE-2024-26041, CVE-2024-26042, CVE-2024-26043, CVE-2024-26044, CVE-2024-26045, CVE-2024-26052, CVE-2024-26059, CVE-2024-26064, CVE-2024-26065, CVE-2024-26073, CVE-2024-26080, CVE-2024-26124, CVE-2024-26125, CVE-2024-20768, CVE-2024-20800
  • Jim Green (green-jam) -- CVE-2024-26030, CVE-2024-26031, CVE-2024-26056, CVE-2024-26061, CVE-2024-26062, CVE-2024-26067, CVE-2024-26069, CVE-2024-26094, CVE-2024-26096, CVE-2024-26101, CVE-2024-26102, CVE-2024-26103, CVE-2024-26104, CVE-2024-26105, CVE-2024-26106, CVE-2024-26107, CVE-2024-26118, CVE-2024-26119, CVE-2024-26120, CVE-2024-20760, CVE-2024-20799, CVE-2024-41877, CVE-2024-41878
  • Akshay Sharma (anonymous_blackzero) -- CVE-2024-26050, CVE-2024-26051

OPMERKING: Adobe heeft een privé, alleen-op-uitnodiging, bug bounty-programma met HackerOne. Als u geïnteresseerd bent in een samenwerking met Adobe als externe beveiligingsonderzoeker, vul dan dit formulier in voor de volgende stappen.

Revisies

21 augustus 2024: CVE-2024-41877 en CVE-2024-41878 toegevoegd

20 juni 2024: CVE-2024-26101 toegevoegd

12 juni 2024: CVE-2024-26126 en CVE-2024-26127 verwijderd

3 april 2024: CVE-2024-20800 toegevoegd

1 april 2024: CVE-2024-20799 toegevoegd

18 maart 2024: CVE-2024-26048 verwijderd

Ga voor meer informatie naar https://helpx.adobe.com/nl/security.html of stuur een e-mail naar PSIRT@adobe.com.

Krijg sneller en gemakkelijker hulp

Nieuwe gebruiker?

Snelle koppelingen

Al je lidmaatschappen weergeven Je lidmaatschappen beheren
Snelle koppelingen weergeven
Snelle koppelingen verbergen

Vraag het de community

Vragen stellen en antwoord krijgen van experts.

Nu vragen

Contact met ons opnemen

Echte hulp van echte mensen.

Nu starten
^ Naar boven