Adobe sikkerhedsbulletin

Sikkerhedsopdateringer til Adobe Experience Manager | APSB22-40

Bulletin-ID

Udgivelsesdato

Prioritet

APSB22-40

13. september 2022 

3

Resumé

Adobe har frigivet opdateringer til Adobe Experience Manager (AEM). Disse opdateringer løser en række vigtige sikkerhedsproblemer.  En udnyttelse af disse sårbarheder kan det resultere i eksekvering af vilkårlig kode og omgåelse af sikkerhedsfunktioner.

Berørte produktversioner

Produkt Version Platform
Adobe Experience Manager (AEM)
AEM Cloud Service (CS)
Alle
6.5.13.0 og tidligere versioner 
Alle

Løsning

Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installation til den nyeste version:

Produkt

Version

Platform

Prioritet

Tilgængelighed

Adobe Experience Manager (AEM) 
AEM Cloud Service (CS)
Alle 3 Produktbemærkninger
6.5.14.0 
Alle

3

Produktbemærkninger til AEM 6.5 Service Pack 
Bemærk:

Kunder, der kører på Adobe Experience Manager’s Cloud Service, vil automatisk modtage opdateringer, som indeholder nye funktioner samt sikkerheds- og funktionsfejlrettelser.  

Bemærk:

Kontakt Adobes kundeservice for at få assistance til AEM-versionerne 6.4, 6.3 og 6.2.

Sikkerhedsoplysninger

Sikkerhedskategori

Virkning af sikkerhedsproblem

Alvorlighed

CVSS-basisscore 

CVE-nummer 

Scripting på tværs af websteder (XSS)

(CWE-79)

Vilkårlig kodekørsel

Vigtig

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30677

Scripting på tværs af websteder (XSS)

(CWE-79)

Vilkårlig kodekørsel

Vigtig

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30678

Scripting på tværs af websteder (XSS)

(CWE-79)

Vilkårlig kodekørsel

Vigtigt

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30680

Cross-site scripting (lagret XSS) (CWE-79)

Vilkårlig kodekørsel

Vigtigt

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30681

Cross-site scripting (lagret XSS) (CWE-79)

Vilkårlig kodekørsel

Vigtigt

6.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

CVE-2022-30682

Overtrædelse af principperne for sikkert design (CWE-657)

Sikkerhedsomgåelse

Vigtigt

5.3

CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N

CVE-2022-30683

Cross-site scripting (reflekteret XSS) (CWE-79)

Vilkårlig kodekørsel

Vigtigt

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30684

Cross-site scripting (reflekteret XSS) (CWE-79)

Vilkårlig kodekørsel

Vigtigt

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30685

Cross-site scripting (reflekteret XSS) (CWE-79)

Vilkårlig kodekørsel

Vigtigt

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30686

Cross-site scripting (reflekteret XSS) (CWE-79)

Vilkårlig kodekørsel

Vigtigt

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-35664

Cross-site scripting (reflekteret XSS) (CWE-79)

Vilkårlig kodekørsel

Vigtigt

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-34218

Cross-site scripting (reflekteret XSS) (CWE-79)

Vilkårlig kodekørsel

Vigtig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-38438

Cross-site scripting (reflekteret XSS) (CWE-79)

Vilkårlig kodekørsel

Vigtigt

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-38439

Opdateringer af afhængigheder

Afhængighed
Virkning af sikkerhedsproblem
Berørte versioner
xmlgraphics
Eskalering af rettigheder

AEM CS  

AEM 6.5.9.0 og tidligere

ionetty
Eskalering af rettigheder

AEM CS  

AEM 6.5.9.0 og tidligere

Tak til følgende personer

Adobe vil gerne takke følgende at rapportere disse sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder: 

  • Jim Green (green-jam) – CVE-2022-30677, CVE-2022-30678, CVE-2022-30680, CVE-2022-30681, CVE-2022-30682, CVE-2022-30683, CVE-2022-30684, CVE-2022-30685, CVE-2022-30686, CVE-2022-35664,  CVE-2022-34218, CVE-2022-38438, CVE-2022-38439

Revisioner

21. september 2022 – Tilføjet oplysninger til CVE-2022-38438 og CVE-2022-38439

14. december 2021: Opdateret bekræftelse for CVE-2021-43762

16. december 2021: Rettet prioritetsniveau for bulletin til 2

29. december 2021: Opdateret anerkendelse for CVE-2021-40722


Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com.

 Adobe

Få hjælp hurtigere og nemmere

Ny bruger?

Adobe MAX 2024

Adobe MAX
kreativitetskonferencen

14-16. oktober i Miami Beach og online

Adobe MAX

Kreativitetskonferencen

14-16. oktober i Miami Beach og online

Adobe MAX 2024

Adobe MAX
kreativitetskonferencen

14-16. oktober i Miami Beach og online

Adobe MAX

Kreativitetskonferencen

14-16. oktober i Miami Beach og online