Bezpečnostní bulletin společnosti Adobe

Zveřejnění aktualizací zabezpečení pro aplikaci Adobe Experience Manager | APSB22-59

ID bulletinu

Datum zveřejnění

Priorita

APSB22-59

13. prosince 2022 

3

Shrnutí

Společnost Adobe zveřejnila aktualizace pro aplikaci Adobe Experience Manager (AEM). Tyto aktualizace řeší chyby zabezpečení označené jako důležitéstřední.  Úspěšné zneužití těchto chyb by mohlo vést ke svévolnému spuštění kódu a obejití bezpečnostních funkcí. 

Dotčené verze produktu

Produkt Verze Platforma
Adobe Experience Manager (AEM)
AEM Cloud Service (CS)
Vše
6.5.14.0 a starší verze 
Vše

Řešení

Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:

Produkt

Verze

Platforma

Priorita

Dostupnost

Adobe Experience Manager (AEM) 
AEM Cloud Service Vydání 2022.10.0
Vše 3 Poznámky k verzi
6.5.15.0 
Vše

3

AEM 6.5 Service Pack – poznámky k verzi 
Poznámka:

Zákazníci používající službu Cloud Service aplikace Adobe Experience Manager automaticky obdrží aktualizace, které obsahují nové funkce a také opravy chyb ve funkcích.  

Poznámka:

O pomoc s verzemi aplikace AEM 6.4, 6.3 a 6.2 můžete požádat péči o zákazníky společnosti Adobe.

Podrobnosti o chybě zabezpečení

Kategorie chyby zabezpečení

Dopad chyby zabezpečení

Závažnost

Základní hodnocení CVSS 

Číslo CVE 

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42345

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42346

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30679

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42348

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42349

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42350

Nesprávné řízení přístupu (CWE-284)

Obcházení bezpečnostních funkcí

Střední

4.3

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

CVE-2022-42351

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42352

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-35693

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42354

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N

CVE-2022-35694

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42356

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42357

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-35695

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N

CVE-2022-35696

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42360

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42362

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42364

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42365

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N

CVE-2022-42366

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42367

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44462

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44463

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

:

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

 

CVE-2022-44465

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44466

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44467

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44468

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44469

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44470

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44471

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44473

Používání skriptů napříč webem (XSS)

(CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44474

Přesměrování adresy URL na nedůvěryhodný server („Otevřené přesměrování“) (CWE-601)

Obcházení bezpečnostních funkcí

Střední

3.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N

CVE-2022-44488

Skriptování mezi weby (reflektovaný XSS) (CWE-79)

Svévolné spuštění kódu

Důležitá

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44510

Aktualizace závislostí

Závislost
Dopad chyby zabezpečení
Postižené verze
xmlgraphics
Zvyšování oprávnění

AEM CS  

AEM 6.5.9.0 a starší 

ionetty
Zvyšování oprávnění

AEM CS  

AEM 6.5.9.0 a starší 

Poděkování

Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím osobám: 

 

  • Jim Green (green-jam) --CVE-2022-42345; CVE-2022-30679; CVE-2022-42348; CVE-2022-42349; CVE-2022-42350; CVE-2022-42351; CVE-2022-42352; CVE-2022-35693; CVE-2022-42354; CVE-2022-35694; CVE-2022-42356; CVE-2022-42357; CVE-2022-35695; CVE-2022-35696; CVE-2022-42360; CVE-2022-42362; CVE-2022-42364; CVE-2022-42365; CVE-2022-42366; CVE-2022-42367; CVE-2022-44462; CVE-2022-44463; CVE-2022-44465; CVE-2022-44466; CVE-2022-44467; CVE-2022-44468; CVE-2022-44469; CVE-2022-44470; CVE-2022-44471; CVE-2022-44473; CVE-2022-44474; CVE-2022-44488, CVE-2022-44510

 

Revize

20. prosince 2022 – Přidání CVE-2022-44510

14. prosince 2021: Aktualizace poděkování pro CVE-2021-43762

16. prosince 2021: Oprava bulletinu na úroveň 2

29. prosince 2021: Aktualizace poděkování pro CVE-2021-40722

30. září 2022: Přidání CVE-2022-28851


Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adresu PSIRT@adobe.com.

 Adobe

Získejte pomoc rychleji a snáze

Nový uživatel?

Adobe MAX 2024

Adobe MAX
Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX

Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX 2024

Adobe MAX
Konference věnovaná tvořivosti

14.–16. října Miami Beach a online

Adobe MAX

Konference věnovaná tvořivosti

14.–16. října Miami Beach a online