ID bulletinu
Zveřejnění aktualizací zabezpečení pro aplikaci Adobe Experience Manager | APSB22-40
|
Datum zveřejnění |
Priorita |
---|---|---|
APSB22-40 |
13. září 2022 |
3 |
Shrnutí
Společnost Adobe zveřejnila aktualizace pro aplikaci Adobe Experience Manager (AEM). Tyto aktualizace řeší chyby zabezpečení hodnocené jako důležité. Úspěšné zneužití těchto chyb by mohlo vést ke svévolnému spuštění kódu a obejití bezpečnostních funkcí.
Dotčené verze produktu
Produkt | Verze | Platforma |
---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Vše |
6.5.13.0 a starší verze |
Vše |
Řešení
Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:
Produkt |
Verze |
Platforma |
Priorita |
Dostupnost |
---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Vše | 3 | Poznámky k verzi |
6.5.14.0 |
Vše |
3 |
AEM 6.5 Service Pack – poznámky k verzi |
Zákazníci používající službu Cloud Service aplikace Adobe Experience Manager automaticky obdrží aktualizace, které obsahují nové funkce a také opravy chyb ve funkcích.
O pomoc s verzemi aplikace AEM 6.4, 6.3 a 6.2 můžete požádat péči o zákazníky společnosti Adobe.
Podrobnosti o chybě zabezpečení
Kategorie chyby zabezpečení |
Dopad chyby zabezpečení |
Závažnost |
Základní hodnocení CVSS |
Číslo CVE |
|
---|---|---|---|---|---|
Používání skriptů napříč webem (XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30677 |
Používání skriptů napříč webem (XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30678 |
Používání skriptů napříč webem (XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30680 |
Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30681 |
Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá |
6.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
CVE-2022-30682 |
Porušení principů bezpečného designu (CWE-657) |
Obcházení bezpečnostních funkcí |
Důležitá |
5.3 |
CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-30683 |
Skriptování mezi weby (reflektovaný XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30684 |
Skriptování mezi weby (reflektovaný XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30685 |
Skriptování mezi weby (reflektovaný XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30686 |
Skriptování mezi weby (reflektovaný XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-35664 |
Skriptování mezi weby (reflektovaný XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-34218 |
Skriptování mezi weby (reflektovaný XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-38438 |
Skriptování mezi weby (reflektovaný XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-38439 |
Aktualizace závislostí
Závislost |
Dopad chyby zabezpečení |
Postižené verze |
xmlgraphics |
Zvyšování oprávnění | AEM CS AEM 6.5.9.0 a starší |
ionetty |
Zvyšování oprávnění | AEM CS AEM 6.5.9.0 a starší |
Poděkování
Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím osobám:
Jim Green (green-jam) --CVE-2022-30677, CVE-2022-30678, CVE-2022-30680, CVE-2022-30681, CVE-2022-30682, CVE-2022-30683, CVE-2022-30684, CVE-2022-30685, CVE-2022-30686, CVE-2022-35664, CVE-2022-34218, CVE-2022-38438, CVE-2022-38439
Revize
14. prosince 2021: Aktualizace poděkování pro CVE-2021-43762
16. prosince 2021: Oprava bulletinu na úroveň 2
29. prosince 2021: Aktualizace poděkování pro CVE-2021-40722
Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adresu PSIRT@adobe.com.