ID del boletín
Última actualización el
30/12/2022
Actualizaciones de seguridad disponibles para Adobe Experience Manager | APSB22-59
|
|
Fecha de publicación |
Prioridad |
|---|---|---|
|
APSB22-59 |
13 de diciembre de 2022 |
3 |
Resumen
Adobe ha publicado actualizaciones para Adobe Experience Manager (AEM). Estas actualizaciones solucionan vulnerabilidades clasificadas como importantes y moderadas. El aprovechamiento de estas vulnerabilidades podría dar lugar a la ejecución arbitraria de código y la omisión de la función de seguridad.
Versión afectada del producto
| Producto | Versión | Plataforma |
|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Todas |
| 6.5.14.0 y versiones anteriores |
Todas |
Solución
Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:
Producto |
Versión |
Plataforma |
Prioridad |
Disponibilidad |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service versión 2022.10.0 |
Todas | 3 | Notas de la versión |
| 6.5.15.0 |
Todas |
3 |
Notas de la versión de AEM 6.5 Service Pack |
Nota
Los clientes que ejecuten en Cloud Service de Adobe Experience Manager recibirán actualizaciones automáticamente con nuevas funciones, así como correcciones de errores de seguridad y funcionalidad.
Nota
Póngase en contacto con el servicio de atención al cliente de Adobe para obtener ayuda relacionada con AEM 6.4, 6.3 y 6.2.
Detalles sobre la vulnerabilidad
|
Categoría de vulnerabilidad |
Impacto de la vulnerabilidad |
Gravedad |
Puntuación base CVSS |
Número CVE |
|
|---|---|---|---|---|---|
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42345 |
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42346 |
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30679 |
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42348 |
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42349 |
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42350 |
|
Control de acceso incorrecto (CWE-284) |
Omisión de la función de seguridad |
Moderado |
4.3 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2022-42351 |
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42352 |
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-35693 |
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42354 |
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N |
CVE-2022-35694 |
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42356 |
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42357 |
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-35695 |
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N |
CVE-2022-35696 |
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42360 |
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42362 |
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42364 |
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42365 |
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N |
CVE-2022-42366 |
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42367 |
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44462 |
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44463 |
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
|
CVE-2022-44465 |
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44466 |
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44467 |
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44468 |
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44469 |
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44470 |
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44471 |
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44473 |
|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44474 |
|
Redirección de URL a sitio no fiable ('Open Redirect') (CWE-601) |
Omisión de la función de seguridad |
Moderada |
3.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2022-44488 |
|
Ejecución de scripts en sitios múltiples (XSS reflejado) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44510 |
Actualizaciones de dependencias
| Dependencia |
Impacto de la vulnerabilidad |
Versiones afectadas |
| xmlgraphics |
Ampliación de privilegios | AEM CS AEM 6.5.9.0 y versiones anteriores |
| ionetty |
Ampliación de privilegios | AEM CS AEM 6.5.9.0 y versiones anteriores |
Reconocimientos
Adobe desea dar las gracias a las siguientes personas por informar sobre estos problemas y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:
- Jim Green (green-jam) --CVE-2022-42345; CVE-2022-30679; CVE-2022-42348; CVE-2022-42349; CVE-2022-42350; CVE-2022-42351; CVE-2022-42352; CVE-2022-35693; CVE-2022-42354; CVE-2022-35694; CVE-2022-42356; CVE-2022-42357; CVE-2022-35695; CVE-2022-35696; CVE-2022-42360; CVE-2022-42362; CVE-2022-42364; CVE-2022-42365; CVE-2022-42366; CVE-2022-42367; CVE-2022-44462; CVE-2022-44463; CVE-2022-44465; CVE-2022-44466; CVE-2022-44467; CVE-2022-44468; CVE-2022-44469; CVE-2022-44470; CVE-2022-44471; CVE-2022-44473; CVE-2022-44474; CVE-2022-44488, CVE-2022-44510
Revisiones
20 de diciembre de 2022: Se han añadido detalles de CVE para CVE-2022-44510
14 de diciembre de 2021: Reconocimiento actualizado para CVE-2021-43762
16 de diciembre de 2021: Se ha corregido el nivel de prioridad del boletín a 2
29 de diciembre de 2021: Se ha añadido un reconocimiento para CVE-2021-40722
30 de septiembre de 2022: Añadido CVE-2022-28851
Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com.
