Bezpečnostní bulletin společnosti Adobe

Zveřejnění aktualizací zabezpečení pro aplikaci Adobe Experience Manager | APSB22-40

ID bulletinu

Datum zveřejnění

Priorita

APSB22-40

13. září 2022 

3

Shrnutí

Společnost Adobe zveřejnila aktualizace pro aplikaci Adobe Experience Manager (AEM). Tyto aktualizace řeší chyby zabezpečení hodnocené jako důležité.  Úspěšné zneužití těchto chyb by mohlo vést ke svévolnému spuštění kódu a obejití bezpečnostních funkcí.

Dotčené verze produktu

Produkt Verze Platforma
Adobe Experience Manager (AEM)
AEM Cloud Service (CS)
Vše
6.5.13.0 a starší verze 
Vše

Řešení

Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt

Verze

Platforma

Priorita

Dostupnost

Adobe Experience Manager (AEM) 
AEM Cloud Service (CS)
Vše 3 Poznámky k verzi
6.5.14.0 
Vše

3

AEM 6.5 Service Pack – poznámky k verzi 
Poznámka:

Zákazníci používající službu Cloud Service aplikace Adobe Experience Manager automaticky obdrží aktualizace, které obsahují nové funkce a také opravy chyb ve funkcích.  

Poznámka:

O pomoc s verzemi aplikace AEM 6.4, 6.3 a 6.2 můžete požádat péči o zákazníky společnosti Adobe.

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení

Dopad chyby zabezpečení

Závažnost

Základní hodnocení CVSS 

Číslo CVE 

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30677

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30678

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30680

Skriptování mezi weby (uložený XSS) (CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30681

Skriptování mezi weby (uložený XSS) (CWE-79)

Svévolné spuštění kódu

Důležitá

6.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

CVE-2022-30682

Porušení principů bezpečného designu (CWE-657)

Obcházení bezpečnostních funkcí

Důležitá

5.3

CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N

CVE-2022-30683

Skriptování mezi weby (reflektovaný XSS) (CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30684

Skriptování mezi weby (reflektovaný XSS) (CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30685

Skriptování mezi weby (reflektovaný XSS) (CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30686

Skriptování mezi weby (reflektovaný XSS) (CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-35664

Skriptování mezi weby (reflektovaný XSS) (CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-34218

Skriptování mezi weby (reflektovaný XSS) (CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-38438

Skriptování mezi weby (reflektovaný XSS) (CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-38439

Aktualizace závislostí

Závislost
Dopad chyby zabezpečení
Postižené verze
xmlgraphics
Zvyšování oprávnění

AEM CS  

AEM 6.5.9.0 a starší 

ionetty
Zvyšování oprávnění

AEM CS  

AEM 6.5.9.0 a starší 

Poděkování

Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím osobám: 

  • Jim Green (green-jam) --CVE-2022-30677, CVE-2022-30678, CVE-2022-30680, CVE-2022-30681, CVE-2022-30682, CVE-2022-30683, CVE-2022-30684, CVE-2022-30685, CVE-2022-30686, CVE-2022-35664,  CVE-2022-34218, CVE-2022-38438, CVE-2022-38439

Revize

21. září 2022 – Přidání podrobností o CVE pro CVE-2022-38438 a CVE-2022-38439

14. prosince 2021: Aktualizace poděkování pro CVE-2021-43762

16. prosince 2021: Oprava bulletinu na úroveň 2

29. prosince 2021: Aktualizace poděkování pro CVE-2021-40722


Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adresu PSIRT@adobe.com.

Získejte pomoc rychleji a snáze

Nový uživatel?