ID bulletinu
Naposledy aktualizováno
15. 6. 2026
Bezpečnostní aktualizace dostupné pro Adobe Experience Manager | APSB26-56
|
|
Datum zveřejnění |
Priorita |
|---|---|---|
|
APSB26-56 |
9. června 2026 |
3 |
Shrnutí
Společnost Adobe zveřejnila aktualizace pro aplikaci Adobe Experience Manager (AEM). Tato aktualizace řeší zranitelnosti hodnocené jako důležité a střední. Úspěšné zneužití těchto chyb by mohlo vést ke svévolnému spuštění kódu a obejití bezpečnostních funkcí.
Společnost Adobe neví o žádném zneužití chyb vyřešených v těchto aktualizací v reálném prostředí.
Dotčené verze produktu
| Produkt | Verze | Platforma |
|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Vše |
6.5 LTS SP1 a starší SP24 a starší |
Vše |
Řešení
Společnost Adobe označuje tyto aktualizace následujícími úrovněmi priority a doporučuje uživatelům aktualizovat produkt na nejnovější verzi:
Produkt |
Verze |
Platforma |
Priorita |
Dostupnost |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) Release 2026.05 | Vše | 3 | Poznámky k verzi |
| Adobe Experience Manager (AEM) | 6.5 LTS Service Pack 2 | Vše | 3 | Poznámky k verzi |
| Adobe Experience Manager (AEM) | 6.5 Service Pack 25 | Vše | 3 | Poznámky k verzi |
Poznámka
Zákazníci používající službu Cloud Service aplikace Adobe Experience Manager automaticky obdrží aktualizace, které obsahují nové funkce a také opravy chyb ve funkcích.
Poznámka
Bezpečnostní aspekty aplikace Experience Manager:
Bezpečnostní aspekty aplikace AEM as a Cloud Service
Balíček pro posílení anonymních oprávnění
Poznámka
O pomoc s verzemi aplikace AEM 6.4, 6.3 a 6.2 můžete požádat péči o zákazníky společnosti Adobe.
Podrobnosti o chybě zabezpečení
| Kategorie chyby zabezpečení |
Dopad chyby zabezpečení |
Závažnost |
Základní hodnocení CVSS |
Vektor CVSS |
Číslo CVE |
| Skriptování mezi weby (DOM-based XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47935 |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47936 |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47939 |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47941 |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47942 |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47943 |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47944 |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47945 |
| Skriptování mezi weby (DOM-based XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47946 |
| Skriptování mezi weby (DOM-based XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47947 |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47948 |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47949 |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47950 |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47951 |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47953 |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47954 |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47956 |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47957 |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47958 |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47962 |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47966 |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47970 |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47972 |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47973 |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47974 |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47975 |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47977 |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47978 |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47980 |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47981 |
| Skriptování mezi weby (DOM-based XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47982 |
| Skriptování mezi weby (DOM-based XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47983 |
| Skriptování mezi weby (DOM-based XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47985 |
| Skriptování mezi weby (DOM-based XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47986 |
| Skriptování mezi weby (DOM-based XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47987 |
| Skriptování mezi weby (DOM-based XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47989 |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47990 |
| Skriptování mezi weby (DOM-based XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-47993 |
| Skriptování mezi weby (DOM-based XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-34692 |
| Skriptování mezi weby (DOM-based XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-48250 |
| Skriptování mezi weby (DOM-based XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-48251 |
| Skriptování mezi weby (DOM-based XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-48256 |
| Skriptování mezi weby (DOM-based XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-48258 |
| Skriptování mezi weby (DOM-based XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-48264 |
| Skriptování mezi weby (DOM-based XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-48265 |
| Skriptování mezi weby (DOM-based XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-48266 |
| Skriptování mezi weby (DOM-based XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-48268 |
| Skriptování mezi weby (DOM-based XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-48271 |
| Skriptování mezi weby (DOM-based XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-48280 |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-48297 |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-48299 |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-48300 |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-48301 |
| Skriptování mezi weby (uložený XSS) (CWE-79) | Svévolné spuštění kódu | Důležitá | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2026-48304 |
| Nesprávné ověření vstupu (CWE-20) | Obcházení bezpečnostních funkcí | Střední | 4.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N | CVE-2026-47991 |
| Nesprávné ověření vstupu (CWE-20) | Obcházení bezpečnostních funkcí | Střední | 3.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N | CVE-2026-48288 |
| Nesprávné ověření vstupu (CWE-20) | Obcházení bezpečnostních funkcí | Střední | 3.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N | CVE-2026-48289 |
Poznámka
Pokud zákazník používá Apache httpd na proxy serveru s jinou než výchozí konfigurací, může se ho týkat CVE-2023-25690 – více informací naleznete zde: https://httpd.apache.org/security/vulnerabilities_24.html
Poděkování
Společnost Adobe by ráda poděkovala za nahlášení těchto potíží a za spolupráci při ochraně našich zákazníků následujícím osobám:
- green-jam: CVE-2026-47936, CVE-2026-47941, CVE-2026-47943, CVE-2026-47944, CVE-2026-47945, CVE-2026-47946, CVE-2026-47947, CVE-2026-47948, CVE-2026-47949, CVE-2026-47950, CVE-2026-47951, CVE-2026-47953, CVE-2026-47954, CVE-2026-47956, CVE-2026-47957, CVE-2026-47958, CVE-2026-47962, CVE-2026-47966, CVE-2026-47970, CVE-2026-47972, CVE-2026-47981, CVE-2026-47982, CVE-2026-47983, CVE-2026-47985, CVE-2026-47986, CVE-2026-47987, CVE-2026-47989, CVE-2026-47993, CVE-2026-34692, CVE-2026-48250, CVE-2026-48251, CVE-2026-48256, CVE-2026-48258, CVE-2026-48264, CVE-2026-48265, CVE-2026-48266, CVE-2026-48268, CVE-2026-48271, CVE-2026-48280, CVE-2026-48297
- anonymous_blackzero: CVE-2026-47939, CVE-2026-47973, CVE-2026-47974, CVE-2026-47975, CVE-2026-47977, CVE-2026-47978, CVE-2026-47980, CVE-2026-48288, CVE-2026-48289, CVE-2026-48299, CVE-2026-48300, CVE-2026-48301, CVE-2026-48304
- lpi: CVE-2026-47935, CVE-2026-47942
- Marco Ventura, Claudia Bartolini a Massimiliano Brolli z TIM Security Red Team Research - TIM S.p.A: CVE-2026-47990
POZNÁMKA: Společnost Adobe má ve spolupráci se společnosti HackerOne veřejný program Bug Bounty. Pokud máte zájem o spolupráci se společností Adobe jako externí výzkumník v oblasti zabezpečení, podívejte se na stránku https://hackerone.com/adobe.
Revize
18. prosince 2025: Přidáno CVE-2025-64538
10. prosince 2025: Odstraněno CVE-2025-64540
24. prosince 2025: Přidána poznámka - „aem 6.5 a verze LTS nejsou ovlivněny následujícími CVE: CVE-2025-64537, CVE-2025-64538, CVE-2025-64539."
Další informace najdete na adrese https://helpx.adobe.com/cz/security.html nebo o ně zažádejte e-mailem na adresu PSIRT@adobe.com.
