ID bulletinu
Naposledy aktualizováno
21. 9. 2023
Zveřejnění aktualizací zabezpečení pro aplikaci Adobe Experience Manager | APSB23-43
|
|
Datum zveřejnění |
Priorita |
|---|---|---|
|
APSB23-43 |
12. září 2023 |
3 |
Shrnutí
Společnost Adobe zveřejnila aktualizace pro aplikaci Adobe Experience Manager (AEM). Tyto aktualizace řeší chyby zabezpečení hodnocené jako důležité. Úspěšné zneužití těchto chyb by mohlo vést ke svévolnému spuštění kódu.
Dotčené verze produktu
| Produkt | Verze | Platforma |
|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Vše |
| 6.5.17.0 a starší verze |
Vše |
Řešení
Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:
Produkt |
Verze |
Platforma |
Priorita |
Dostupnost |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service verze 2023.8 |
Vše | 3 | Poznámky k verzi |
| 6.5.18.0 |
Vše |
3 |
AEM 6.5 Service Pack – poznámky k verzi |
Poznámka:
Zákazníci používající službu Cloud Service aplikace Adobe Experience Manager automaticky obdrží aktualizace, které obsahují nové funkce a také opravy chyb ve funkcích.
Poznámka:
Bezpečnostní aspekty aplikace Experience Manager:
Bezpečnostní aspekty aplikace AEM as a Cloud Service
Balíček pro posílení anonymních oprávnění
Poznámka:
O pomoc s verzemi aplikace AEM 6.4, 6.3 a 6.2 můžete požádat péči o zákazníky společnosti Adobe.
Podrobnosti o chybě zabezpečení
|
Kategorie chyby zabezpečení |
Dopad chyby zabezpečení |
Závažnost |
Základní hodnocení CVSS |
Číslo CVE |
|
|---|---|---|---|---|---|
|
Skriptování mezi weby (reflektovaný XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-38214 |
|
Skriptování mezi weby (reflektovaný XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-38215 |
Poznámka:
Pokud zákazník používá Apache httpd na proxy serveru s jinou než výchozí konfigurací, může se ho týkat CVE-2023-25690 – více informací naleznete zde: https://httpd.apache.org/security/vulnerabilities_24.html
Poděkování
Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím osobám:
- Jim Green (green-jam) – CVE-2023-38214, CVE-2023-38215
POZNÁMKA: Společnost Adobe má ve spolupráci se společnosti HackerOne soukromý program Bug Bounty, který je k dispozici pouze pro pozvané. Pokud máte zájem o spolupráci se společností Adobe jako externí výzkumník v oblasti zabezpečení a chcete vědět, jak dál postupovat, vyplňte tento formulář.
Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adresu PSIRT@adobe.com.
