Boletim de segurança da Adobe

Atualizações de segurança disponíveis para o Adobe Experience Manager | APSB22-40

ID do boletim

Data de publicação

Prioridade

APSB22-40

13 de setembro de 2022 

3

Resumo

Adobe lançou atualizações para o Adobe Experience Manager (AEM). Estas atualizações resolvem vulnerabilidades de classe Importante.  A exploração bem-sucedida dessas vulnerabilidades pode resultar na execução arbitrária de código e em falha de recursos de segurança.

Versões do produto afetado

Produto Versão Plataforma
Adobe Experience Manager (AEM)
AEM Cloud Service (CS)
Todos
6.5.13.0 e versões anteriores 
Todos

Solução

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:

Produto

Versão

Plataforma

Prioridade

Disponibilidade

Adobe Experience Manager (AEM) 
AEM Cloud Service (CS)
Todos 3 Notas de versão
6.5.14.0 
Todos

3

Notas de versão do AEM 6.5 Service Pack 
Observação:

Os clientes que executam o Cloud Service da Adobe Experience Manager receberão automaticamente atualizações que incluem novos recursos, bem como correções de erros de segurança e funcionalidade.  

Observação:

Entre em contato com o Atendimento ao cliente da Adobe para obter assistência com as versões 6.4, 6.3 e 6.2 do AEM.

Detalhes da vulnerabilidade

Categoria da vulnerabilidade

Impacto da vulnerabilidade

Severidade

Pontuação base de CVSS 

Número CVE 

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrário

Importante

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30677

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrária

Importante

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30678

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrário

Importante

5,4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30680

Criação de script entre sites (XSS armazenado) (CWE-79)

Execução de código arbitrário

Importante

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30681

Criação de script entre sites (XSS armazenado) (CWE-79)

Execução de código arbitrário

Importante

6.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

CVE-2022-30682

Violação de princípios de design seguro (CWE-657)

Falha de recurso de segurança

Importante

5.3

CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N

CVE-2022-30683

Criação de script entre sites (XSS Refletido) (CWE-79)

Execução de código arbitrário

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30684

Criação de script entre sites (XSS Refletido) (CWE-79)

Execução de código arbitrária

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30685

Criação de script entre sites (XSS Refletido) (CWE-79)

Execução de código arbitrário

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30686

Criação de script entre sites (XSS Refletido) (CWE-79)

Execução de código arbitrária

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-35664

Criação de script entre sites (XSS Refletido) (CWE-79)

Execução de código arbitrária

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-34218

Criação de script entre sites (XSS Refletido) (CWE-79)

Execução de código arbitrário

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-38438

Criação de script entre sites (XSS Refletido) (CWE-79)

Execução de código arbitrário

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-38439

Atualizações das dependências

Dependência
Impacto da vulnerabilidade
Versões afetadas
xmlgraphics
Escalonamento de privilégio

AEM CS  

AEM 6.5.9.0 e anteriores 

ionetty
Escalonamento de privilégio

AEM CS  

AEM 6.5.9.0 e anteriores 

Agradecimentos

A Adobe gostaria de agradecer aos seguintes profissionais por terem relatado esses problemas e trabalhado com a Adobe para ajudar a proteger nossos clientes: 

  • Jim Green (green-jam) --CVE-2022-30677, CVE-2022-30678, CVE-2022-30680, CVE-2022-30681, CVE-2022-30682, CVE-2022-30683, CVE-2022-30684, CVE-2022-30685, CVE-2022-30686, CVE-2022-35664,  CVE-2022-34218, CVE-2022-38438, CVE-2022-38439

Revisões

21 de setembro, 2022 - Detalhes de CVE adicionados para CVE-2022-38438 e CVE-2022-38439

14 de dezembro de 2021: confirmação atualizada para CVE-2021-43762

16 de dezembro de 2021: correção do nível de prioridade do boletim para 2

29 de dezembro de 2021: Reconhecimento atualizado para CVE-2021-40722


Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.

 Adobe

Receba ajuda com mais rapidez e facilidade

Novo usuário?