ID bulletinu
Naposledy aktualizováno
18. 4. 2024
Zveřejnění aktualizací zabezpečení pro aplikaci Adobe Experience Manager | APSB24-21
|
|
Datum zveřejnění |
Priorita |
|---|---|---|
|
APSB24-21 |
9. dubna 2024 |
3 |
Shrnutí
Společnost Adobe zveřejnila aktualizace pro aplikaci Adobe Experience Manager (AEM). Tyto aktualizace řeší chyby zabezpečení hodnocené jako důležité. Úspěšné zneužití těchto chyb by mohlo vést ke svévolnému spuštění kódu a obejití bezpečnostních funkcí.
Dotčené verze produktu
| Produkt | Verze | Platforma |
|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Vše |
| 6.5.19 a starší verze |
Vše |
Řešení
Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:
Produkt |
Verze |
Platforma |
Priorita |
Dostupnost |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service verze 2024.03 |
Vše | 3 | Poznámky k verzi |
| 6.5.20 | Vše |
3 |
AEM 6.5 Service Pack – poznámky k verzi |
Poznámka:
Zákazníci používající službu Cloud Service aplikace Adobe Experience Manager automaticky obdrží aktualizace, které obsahují nové funkce a také opravy chyb ve funkcích.
Poznámka:
Bezpečnostní aspekty aplikace Experience Manager:
Bezpečnostní aspekty aplikace AEM as a Cloud Service
Balíček pro posílení anonymních oprávnění
Poznámka:
O pomoc s verzemi aplikace AEM 6.4, 6.3 a 6.2 můžete požádat péči o zákazníky společnosti Adobe.
Podrobnosti o chybě zabezpečení
| Kategorie chyby zabezpečení |
Dopad chyby zabezpečení |
Závažnost |
Základní hodnocení CVSS |
Vektor CVSS |
Číslo CVE |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26046 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26047 |
| Expozice informací (CWE-200) | Obcházení bezpečnostních funkcí | Důležitá | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CVE-2024-26076 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26079 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26084 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26087 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26097 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26098 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26122 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-20778 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-20779 |
| Skriptování mezi weby (uložený XSS) (CWE-79) |
Svévolné spuštění kódu |
Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-20780 |
Poznámka:
Pokud zákazník používá Apache httpd na proxy serveru s jinou než výchozí konfigurací, může se ho týkat CVE-2023-25690 – více informací naleznete zde: https://httpd.apache.org/security/vulnerabilities_24.html
Poděkování
Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím osobám:
- Lorenzo Pirondini – CVE-2024-26047, CVE-2024-26076, CVE-2024-26079, CVE-2024-26084,
- Jim Green (green-jam) – CVE-2024-26087, CVE-2024-26097, CVE-2024-26098, CVE-2024-26122, CVE-2024-20778 CVE-2024-20779 CVE-2024-20780
- Akshay Sharma (anonymous_blackzero) – CVE-2024-26046
POZNÁMKA: Společnost Adobe má ve spolupráci se společnosti HackerOne soukromý program Bug Bounty, který je k dispozici pouze pro pozvané. Pokud máte zájem o spolupráci se společností Adobe jako externí výzkumník v oblasti zabezpečení a chcete vědět, jak dál postupovat, vyplňte tento formulář.
Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adresu PSIRT@adobe.com.
