公告 ID
上次更新日期:
2023年9月25日
Adobe Experience Manager 的安全更新 | APSB23-31
|
|
发布日期 |
优先级 |
|---|---|---|
|
APSB23-31 |
2023 年 6 月 13 日 |
3 |
摘要
受影响的产品版本
| 产品 | 版本 | 平台 |
|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
全部 |
| 6.5.16.0 及更早版本 |
全部 |
解决方案
Adobe 按照以下优先级将更新分类,并建议用户将其安装的软件更新至最新版本:
产品 |
版本 |
平台 |
优先级 |
获取途径 |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service 版本 2023.4 |
全部 | 3 | 发行说明 |
| 6.5.17.0 | 全部 |
3 |
AEM 6.5 Service Pack 发行说明 |
注意:
在 Adobe Experience Manager Cloud Service 上运行的客户将自动接收包含新功能以及安全性和功能错误修复的更新。
注意:
Experience Manager 安全注意事项:
注意:
请联系 Adobe 客户关怀团队,以获取有关 AEM 6.4、6.3 和 6.2 版本的帮助。
漏洞详情
|
漏洞类别 |
漏洞影响 |
严重性 |
CVSS 基础评分 |
CVE 编号 |
|
|---|---|---|---|---|---|
|
跨站点脚本(反射型 XSS)(CWE-79) |
任意代码执行 |
重要 |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-29304 |
|
URL 重定向到不信任的网站(“开放重定向”)(CWE-601) |
绕过安全功能 |
中等 |
3.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N |
CVE-2023-29307 |
|
跨站点脚本(反射型 XSS)(CWE-79) |
任意代码执行 |
重要 |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-29322 |
|
跨站点脚本(反射型 XSS)(CWE-79) |
任意代码执行 |
重要 |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-29302 |
依赖项更新
| CVE | 依赖项 |
漏洞影响 |
受影响的版本 |
| CVE-2023-26513 |
Apache Sling |
拒绝服务 |
AEM CS AEM 6.5.16.0 及更早版本 |
| CVE-2022-26336 |
Apache POI |
拒绝服务 |
AEM CS AEM 6.5.16.0 及更早版本 |
注意:
如果客户在非默认配置的代理中使用 Apache httpd,他们可能会受到 CVE-2023-25690 的影响 - 更多信息参见:https://httpd.apache.org/security/vulnerabilities_24.html
鸣谢
Adobe 衷心感谢以下个人报告这些问题并与 Adobe 一起保护我们的客户:
- Jim Green (green-jam) -- CVE-2023-29304、CVE-2023-29302
- Osama Yousef (osamayousef) -- CVE-2023-29307
- Lorenzo Pirondini -- CVE-2023-29322
注意:Adobe 通过 HackerOne 开展私密的有奖挖洞邀请项目。如果您有兴趣作为外部安全研究人员与 Adobe 合作,请填写此表格,用于后续流程。
修订
2023 年 9 月 19 日 - 依赖项更新
2023 年 7 月 11 日 - 修订了依赖项更新。
2023 年 6 月 15 日 - 研究员“lpi”修改为“Lorenzo Pirondini”。
有关更多信息,请访问 https://helpx.adobe.com/cn/security.html,或发送电子邮件至 PSIRT@adobe.com.
