公告 ID
上次更新日期:
2024年8月30日
Adobe Experience Manager 的安全更新 | APSB24-05
|
|
发布日期 |
优先级 |
|---|---|---|
|
APSB24-05 |
2024 年 3 月 12 日 |
3 |
摘要
受影响的产品版本
| 产品 | 版本 | 平台 |
|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
全部 |
| 6.5.19.0 及更早版本 |
全部 |
解决方案
Adobe 按照以下优先级将更新分类,并建议用户将其安装的软件更新至最新版本:
产品 |
版本 |
平台 |
优先级 |
获取途径 |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service 版本 2024.03 |
全部 | 3 | 发行说明 |
| 6.5.20.0 | 全部 |
3 |
AEM 6.5 Service Pack 发行说明 |
注意:
在 Adobe Experience Manager Cloud Service 上运行的客户将自动接收包含新功能以及安全性和功能错误修复的更新。
注意:
Experience Manager 安全注意事项:
注意:
请联系 Adobe 客户关怀团队,以获取有关 AEM 6.4、6.3 和 6.2 版本的帮助。
漏洞详情
| 漏洞类别 |
漏洞影响 |
严重性 |
CVSS 基础评分 |
CVSS 向量 |
CVE 编号 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26028 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26030 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26031 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26032 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26033 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26034 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26035 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26038 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26040 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26041 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26042 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26043 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26044 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26045 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 4.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N | CVE-2024-26050 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26052 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26056 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26059 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26061 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26062 |
| 信息披露 (CWE-200) | 安全功能旁路 | 重要 | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CVE-2024-26063 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26064 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26065 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26067 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26069 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26073 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26080 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26094 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26096 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26102 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26103 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26104 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26105 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26106 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26107 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26118 |
| 不当的访问控制(CWE-284) | 安全功能旁路 | 重要 | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CVE-2024-26119 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26120 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26124 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26125 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-20760 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-20768 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 |
5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-20799 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 |
5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-20800 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 |
5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26101 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 |
5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-41877 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 |
重要 |
5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-41878 |
| 跨站点脚本(存储型 XSS)(CWE-79) |
任意代码执行 | 中等 | 3.4 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:N/A:N | CVE-2024-26051 |
注意:
如果客户在非默认配置的代理中使用 Apache httpd,他们可能会受到 CVE-2023-25690 的影响 - 更多信息参见:https://httpd.apache.org/security/vulnerabilities_24.html
鸣谢
Adobe 衷心感谢以下人员报告这些问题并与 Adobe 一起保护我们的客户:
- Lorenzo Pirondini -- CVE-2024-26028、CVE-2024-26032、CVE-2024-26033、CVE-2024-26034、CVE-2024-26035、CVE-2024-26038、CVE-2024-26040、CVE-2024-26041、CVE-2024-26042、CVE-2024-26043、CVE-2024-26044、CVE-2024-26045、CVE-2024-26052、CVE-2024-26059、CVE-2024-26064、CVE-2024-26065、CVE-2024-26073、CVE-2024-26080、CVE-2024-26124、CVE-2024-26125、CVE-2024-20768、CVE-2024-20800
- Jim Green (green-jam) -- CVE-2024-26030、CVE-2024-26031、CVE-2024-26056、CVE-2024-26061、CVE-2024-26062、CVE-2024-26067、CVE-2024-26069、CVE-2024-26094、CVE-2024-26096、CVE-2024-26101、CVE-2024-26102、CVE-2024-26103、CVE-2024-26104、CVE-2024-26105、CVE-2024-26106、CVE-2024-26107、CVE-2024-26118、CVE-2024-26119、CVE-2024-26120、CVE-2024-20760、CVE-2024-20799、CVE-2024-41877、CVE-2024-41878
- Akshay Sharma (anonymous_blackzero) -- CVE-2024-26050、CVE-2024-26051
注意:Adobe 通过 HackerOne 开展私密的有奖挖洞邀请项目。如果您有兴趣作为外部安全研究人员与 Adobe 合作,请填写此表格,用于后续流程。
修订
2024 年 8 月 21 日 - 添加了 CVE-2024-41877 和 CVE-2024-41878
2024 年 6 月 20 日 - 添加了 CVE-2024-26101
2024 年 6 月 12 日 - 删除了 CVE-2024-26126 和 CVE-2024-26127
2024 年 4 月 3 日 - 添加了 CVE-2024-20800
2024 年 4 月 1 日 - 添加了 CVE-2024-20799
2024 年 3 月 18 日 - 删除了 CVE-2024-26048
有关更多信息,请访问 https://helpx.adobe.com/cn/security.html,或发送电子邮件至 PSIRT@adobe.com。
