Bulletin de sécurité Adobe

Mises à jour de sécurité disponibles pour Adobe Experience Manager | APSB24-05

Référence du bulletin

Date de publication

Priorité 

APSB24-05

12 mars 2024

3

Récapitulatif

Adobe a publié des mises à jour pour Adobe Experience Manager (AEM). Ces mises à jour corrigent des vulnérabilités jugées importantes et modérées.  L’exploitation réussie de ces vulnérabilités pourrait entraîner l’exécution de code arbitraire et le contournement des fonctions de sécurité.

Versions concernées

Produit Version  Plate-forme
Adobe Experience Manager (AEM)
AEM Cloud Service (CS)
Toutes
6.5.19.0 et versions antérieures 
Toutes

Solution

Adobe attribue à ces mises à jour les priorités suivantes et recommande aux utilisateurs concernés de mettre à jour leurs installations avec les dernières versions des logiciels :

Produit

Version 

Plate-forme

Priorité 

Disponibilité

Adobe Experience Manager (AEM) 
AEM Cloud Service Release 2024.03 
Toutes 3 Notes de mise à jour
6.5.20.0 Toutes

3

Notes de mise à jour Service Pack pour AEM 6.5 
Remarque :

Les clients qui utilisent Cloud Service d’Adobe Experience Manager recevront automatiquement des mises à jour incluant de nouvelles options, ainsi que des correctifs de bogues de sécurité et de fonctionnalité.  

Remarque :
Remarque :

Veuillez contacter l’Assistance clientèle d’Adobe pour obtenir de l’aide sur les versions 6.2, 6.3 et 6.4 d’AEM.

Détails concernant la vulnérabilité

Catégorie de la vulnérabilité
Impact de la vulnérabilité
Gravité
Score de base CVSS
Vecteur CVSS
Référence CVE
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26028
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26030
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26031
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26032
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26033
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26034
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26035
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26038
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26040
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26041
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26042
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26043
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26044
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26045
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 4,5 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N CVE-2024-26050
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26052
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26056
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26059
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26061
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26062
Exposition d’informations (CWE-200) Contournement des fonctions de sécurité Importante 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVE-2024-26063
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26064
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26065
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26067
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26069
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26073
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26080
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26094
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26096
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26102
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26103
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26104
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26105
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26106
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26107
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26118
Contrôle d’accès incorrect (CWE-284) Contournement des fonctions de sécurité Importante 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVE-2024-26119
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26120
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26124
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26125
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-20760
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-20768
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante
5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
CVE-2024-20799
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante
5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
CVE-2024-20800
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante
5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26101
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante
5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-41877
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire
Importante
5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-41878
Cross-site scripting (XSS stocké) (CWE-79)
Exécution de code arbitraire Modéré 3.4 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:N/A:N CVE-2024-26051
Remarque :

Si un client utilise Apache httpd dans un proxy avec une configuration autre que celle par défaut, il peut être affecté par CVE-2023-25690 - plus d’informations ici : https://httpd.apache.org/security/vulnerabilities_24.html

Remerciements

Adobe tient à remercier les personnes/organisations suivantes pour avoir signalé ces problèmes et joint leurs efforts aux nôtres pour protéger nos clients :

  • Lorenzo Pirondini -- CVE-2024-26028, CVE-2024-26032, CVE-2024-26033, CVE-2024-26034, CVE-2024-26035, CVE-2024-26038, CVE-2024-26040, CVE-2024-26041, CVE-2024-26042, CVE-2024-26043, CVE-2024-26044, CVE-2024-26045, CVE-2024-26052, CVE-2024-26059, CVE-2024-26064, CVE-2024-26065, CVE-2024-26073, CVE-2024-26080, CVE-2024-26124, CVE-2024-26125, CVE-2024-20768, CVE-2024-20800
  • Jim Green (green-jam) -- CVE-2024-26030, CVE-2024-26031, CVE-2024-26056, CVE-2024-26061, CVE-2024-26062, CVE-2024-26067, CVE-2024-26069, CVE-2024-26094, CVE-2024-26096, CVE-2024-26101, CVE-2024-26102, CVE-2024-26103, CVE-2024-26104, CVE-2024-26105, CVE-2024-26106, CVE-2024-26107, CVE-2024-26118, CVE-2024-26119, CVE-2024-26120, CVE-2024-20760, CVE-2024-20799, CVE-2024-41877, CVE-2024-41878
  • Akshay Sharma (anonymous_blackzero) -- CVE-2024-26050, CVE-2024-26051

REMARQUE : Adobe dispose d’un programme privé de prime aux bogues, accessible sur invitation uniquement, avec HackerOne. Si vous souhaitez travailler avec Adobe en tant que chercheur en sécurité externe, remplissez ce formulaire pour les étapes suivantes.

Révisions

21 août 2024 - Ajout de CVE-2024-41877 et CVE-2024-41878

20 juin 2024 - Ajout de CVE-2024-26101

12 juin 2024 - Retrait de CVE-2024-26126 and CVE-2024-26127

3 avril 2024 - Ajout de CVE-2024-20800

1er avril 2024 - Ajout de CVE-2024-20799

18 mars 2024 - Suppression de CVE-2024-26048


Pour plus d’informations, visitez https://helpx.adobe.com/fr/security.html ou envoyez un e-mail à PSIRT@adobe.com.

Recevez de l’aide plus rapidement et plus facilement

Nouvel utilisateur ?