ID del boletín
Última actualización el
04-10-2022
Actualizaciones de seguridad disponibles para Adobe Experience Manager | APSB22-40
|
|
Fecha de publicación |
Prioridad |
|---|---|---|
|
APSB22-40 |
13 de septiembre de 2022 |
3 |
Resumen
Adobe ha publicado actualizaciones para Adobe Experience Manager (AEM). Estas actualizaciones soluciona vulnerabilidades calificadas como importantes. El aprovechamiento de estas vulnerabilidades podría dar lugar a la ejecución arbitraria de código y la omisión de la función de seguridad.
Versión afectada del producto
| Producto | Versión | Plataforma |
|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Todas |
| 6.5.13.0 y versiones anteriores |
Todas |
Solución
Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:
Producto |
Versión |
Plataforma |
Prioridad |
Disponibilidad |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Todas | 3 | Notas de la versión |
| 6.5.14.0 |
Todas |
3 |
Notas de la versión de AEM 6.5 Service Pack |
Nota:
Los clientes que ejecuten en Cloud Service de Adobe Experience Manager recibirán actualizaciones automáticamente con nuevas funciones, así como correcciones de errores de seguridad y funcionalidad.
Nota:
Póngase en contacto con el servicio de atención al cliente de Adobe para obtener ayuda relacionada con AEM 6.4, 6.3 y 6.2.
Detalles sobre la vulnerabilidad
|
Categoría de vulnerabilidad |
Impacto de la vulnerabilidad |
Gravedad |
Puntuación base CVSS |
Número CVE |
|
|---|---|---|---|---|---|
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30677 |
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30678 |
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30680 |
|
Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30681 |
|
Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79) |
Ejecución de código arbitraria |
Importante |
6.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
CVE-2022-30682 |
|
Violación de los principios de diseño seguro (CWE-657) |
Omisión de la función de seguridad |
Importante |
5.3 |
CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-30683 |
|
Ejecución de scripts en sitios múltiples (XSS reflejado) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30684 |
|
Ejecución de scripts en sitios múltiples (XSS reflejado) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30685 |
|
Ejecución de scripts en sitios múltiples (XSS reflejado) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30686 |
|
Ejecución de scripts en sitios múltiples (XSS reflejado) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-35664 |
|
Ejecución de scripts en sitios múltiples (XSS reflejado) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-34218 |
|
Ejecución de scripts en sitios múltiples (XSS reflejado) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-38438 |
|
Ejecución de scripts en sitios múltiples (XSS reflejado) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-38439 |
Actualizaciones de dependencias
| Dependencia |
Impacto de la vulnerabilidad |
Versiones afectadas |
| xmlgraphics |
Ampliación de privilegios | AEM CS AEM 6.5.9.0 y versiones anteriores |
| ionetty |
Ampliación de privilegios | AEM CS AEM 6.5.9.0 y versiones anteriores |
Reconocimientos
Adobe desea dar las gracias a las siguientes personas por informar sobre estos problemas y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:
Jim Green (green-jam) --CVE-2022-30677, CVE-2022-30678, CVE-2022-30680, CVE-2022-30681, CVE-2022-30682, CVE-2022-30683, CVE-2022-30684, CVE-2022-30685, CVE-2022-30686, CVE-2022-35664, CVE-2022-34218, CVE-2022-38438, CVE-2022-38439
Revisiones
21 de septiembre de 2022: Se han añadido detalles de CVE para CVE-2022-38438 y CVE-2022-38439
14 de diciembre de 2021: Reconocimiento actualizado para CVE-2021-43762
16 de diciembre de 2021: Se ha corregido el nivel de prioridad del boletín a 2
29 de diciembre de 2021: Se ha añadido un reconocimiento para CVE-2021-40722
Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com.
