ID bulletinu
Naposledy aktualizováno
30. 8. 2024
Zveřejnění aktualizací zabezpečení pro aplikaci Adobe Experience Manager | APSB24-05
|
|
Datum zveřejnění |
Priorita |
|---|---|---|
|
APSB24-05 |
12. března 2024 |
3 |
Shrnutí
Společnost Adobe zveřejnila aktualizace pro aplikaci Adobe Experience Manager (AEM). Tyto aktualizace řeší chyby zabezpečení označené jako důležité a středně závažné. Úspěšné zneužití těchto chyb by mohlo vést ke svévolnému spuštění kódu a obejití bezpečnostních funkcí.
Dotčené verze produktu
| Produkt | Verze | Platforma |
|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Vše |
| 6.5.19.0 a starší verze |
Vše |
Řešení
Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:
Produkt |
Verze |
Platforma |
Priorita |
Dostupnost |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service verze 2024.03 |
Vše | 3 | Poznámky k verzi |
| 6.5.20.0 | Vše |
3 |
AEM 6.5 Service Pack – poznámky k verzi |
Poznámka:
Zákazníci používající službu Cloud Service aplikace Adobe Experience Manager automaticky obdrží aktualizace, které obsahují nové funkce a také opravy chyb ve funkcích.
Poznámka:
Bezpečnostní aspekty aplikace Experience Manager:
Bezpečnostní aspekty aplikace AEM as a Cloud Service
Balíček pro posílení anonymních oprávnění
Poznámka:
O pomoc s verzemi aplikace AEM 6.4, 6.3 a 6.2 můžete požádat péči o zákazníky společnosti Adobe.
Podrobnosti o chybě zabezpečení
| Kategorie chyby zabezpečení |
Dopad chyby zabezpečení |
Závažnost |
Základní hodnocení CVSS |
Vektor CVSS |
Číslo CVE |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26028 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26030 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26031 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26032 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26033 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26034 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26035 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26038 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26040 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26041 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26042 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26043 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26044 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26045 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 4.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N | CVE-2024-26050 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26052 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26056 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26059 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26061 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26062 |
| Expozice informací (CWE-200) | Obcházení bezpečnostních funkcí | Důležitá | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CVE-2024-26063 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26064 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26065 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26067 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26069 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26073 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26080 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26094 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26096 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26102 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26103 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26104 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26105 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26106 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26107 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26118 |
| Nesprávné řízení přístupu (CWE-284) | Obcházení bezpečnostních funkcí | Důležitá | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CVE-2024-26119 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26120 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26124 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26125 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-20760 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-20768 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá |
5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-20799 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá |
5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-20800 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá |
5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26101 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá |
5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-41877 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá |
5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-41878 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu | Střední | 3.4 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:N/A:N | CVE-2024-26051 |
Poznámka:
Pokud zákazník používá Apache httpd na proxy serveru s jinou než výchozí konfigurací, může se ho týkat CVE-2023-25690 – více informací naleznete zde: https://httpd.apache.org/security/vulnerabilities_24.html
Poděkování
Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím osobám:
- Lorenzo Pirondini – CVE-2024-26028, CVE-2024-26032, CVE-2024-26033, CVE-2024-26034, CVE-2024-26035, CVE-2024-26038, CVE-2024-26040, CVE-2024-26041, CVE-2024-26042, CVE-2024-26043, CVE-2024-26044, CVE-2024-26045, CVE-2024-26052, CVE-2024-26059, CVE-2024-26064, CVE-2024-26065, CVE-2024-26073, CVE-2024-26080, CVE-2024-26124, CVE-2024-26125, CVE-2024-20768, CVE-2024-20800
- Jim Green (green-jam) – CVE-2024-26030, CVE-2024-26031, CVE-2024-26056, CVE-2024-26061, CVE-2024-26062, CVE-2024-26067, CVE-2024-26069, CVE-2024-26094, CVE-2024-26096, CVE-2024-26101, CVE-2024-26102, CVE-2024-26103, CVE-2024-26104, CVE-2024-26105, CVE-2024-26106, CVE-2024-26107, CVE-2024-26118, CVE-2024-26119, CVE-2024-26120, CVE-2024-20760, CVE-2024-20799, CVE-2024-41877, CVE-2024-41878
- Akshay Sharma (anonymous_blackzero) – CVE-2024-26050, CVE-2024-26051
POZNÁMKA: Společnost Adobe má ve spolupráci se společnosti HackerOne soukromý program Bug Bounty, který je k dispozici pouze pro pozvané. Pokud máte zájem o spolupráci se společností Adobe jako externí výzkumník v oblasti zabezpečení a chcete vědět, jak dál postupovat, vyplňte tento formulář.
Revize
21. srpna 2024 – Přidání CVE-2024-41877 a CVE-2024-41878
20. června 2024 – Přidání CVE-2024-26101
12. června 2024 – Odebrání CVE-2024-26126 a CVE-2024-26127
3. dubna 2024 – Přidání CVE-2024-20800
1. dubna 2024 – Přidání CVE-2024-20799
18. března 2024 – Odstranění CVE-2024-26048
Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adresu PSIRT@adobe.com.
