Bulletin-ID
Sidst opdateret den
4. okt. 2022
Sikkerhedsopdateringer til Adobe Experience Manager | APSB22-40
|
|
Udgivelsesdato |
Prioritet |
|---|---|---|
|
APSB22-40 |
13. september 2022 |
3 |
Resumé
Adobe har frigivet opdateringer til Adobe Experience Manager (AEM). Disse opdateringer løser en række vigtige sikkerhedsproblemer. En udnyttelse af disse sårbarheder kan det resultere i eksekvering af vilkårlig kode og omgåelse af sikkerhedsfunktioner.
Berørte produktversioner
| Produkt | Version | Platform |
|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle |
| 6.5.13.0 og tidligere versioner |
Alle |
Løsning
Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installation til den nyeste version:
Produkt |
Version |
Platform |
Prioritet |
Tilgængelighed |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle | 3 | Produktbemærkninger |
| 6.5.14.0 |
Alle |
3 |
Produktbemærkninger til AEM 6.5 Service Pack |
Bemærk:
Kunder, der kører på Adobe Experience Manager’s Cloud Service, vil automatisk modtage opdateringer, som indeholder nye funktioner samt sikkerheds- og funktionsfejlrettelser.
Bemærk:
Kontakt Adobes kundeservice for at få assistance til AEM-versionerne 6.4, 6.3 og 6.2.
Sikkerhedsoplysninger
|
Sikkerhedskategori |
Virkning af sikkerhedsproblem |
Alvorlighed |
CVSS-basisscore |
CVE-nummer |
|
|---|---|---|---|---|---|
|
Scripting på tværs af websteder (XSS) (CWE-79) |
Vilkårlig kodekørsel |
Vigtig |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30677 |
|
Scripting på tværs af websteder (XSS) (CWE-79) |
Vilkårlig kodekørsel |
Vigtig |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30678 |
|
Scripting på tværs af websteder (XSS) (CWE-79) |
Vilkårlig kodekørsel |
Vigtigt |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30680 |
|
Cross-site scripting (lagret XSS) (CWE-79) |
Vilkårlig kodekørsel |
Vigtigt |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30681 |
|
Cross-site scripting (lagret XSS) (CWE-79) |
Vilkårlig kodekørsel |
Vigtigt |
6.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
CVE-2022-30682 |
|
Overtrædelse af principperne for sikkert design (CWE-657) |
Sikkerhedsomgåelse |
Vigtigt |
5.3 |
CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-30683 |
|
Cross-site scripting (reflekteret XSS) (CWE-79) |
Vilkårlig kodekørsel |
Vigtigt |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30684 |
|
Cross-site scripting (reflekteret XSS) (CWE-79) |
Vilkårlig kodekørsel |
Vigtigt |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30685 |
|
Cross-site scripting (reflekteret XSS) (CWE-79) |
Vilkårlig kodekørsel |
Vigtigt |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30686 |
|
Cross-site scripting (reflekteret XSS) (CWE-79) |
Vilkårlig kodekørsel |
Vigtigt |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-35664 |
|
Cross-site scripting (reflekteret XSS) (CWE-79) |
Vilkårlig kodekørsel |
Vigtigt |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-34218 |
|
Cross-site scripting (reflekteret XSS) (CWE-79) |
Vilkårlig kodekørsel |
Vigtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-38438 |
|
Cross-site scripting (reflekteret XSS) (CWE-79) |
Vilkårlig kodekørsel |
Vigtigt |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-38439 |
Opdateringer af afhængigheder
| Afhængighed |
Virkning af sikkerhedsproblem |
Berørte versioner |
| xmlgraphics |
Eskalering af rettigheder | AEM CS AEM 6.5.9.0 og tidligere |
| ionetty |
Eskalering af rettigheder | AEM CS AEM 6.5.9.0 og tidligere |
Tak til følgende personer
Adobe vil gerne takke følgende at rapportere disse sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder:
Jim Green (green-jam) – CVE-2022-30677, CVE-2022-30678, CVE-2022-30680, CVE-2022-30681, CVE-2022-30682, CVE-2022-30683, CVE-2022-30684, CVE-2022-30685, CVE-2022-30686, CVE-2022-35664, CVE-2022-34218, CVE-2022-38438, CVE-2022-38439
Revisioner
21. september 2022 – Tilføjet oplysninger til CVE-2022-38438 og CVE-2022-38439
14. december 2021: Opdateret bekræftelse for CVE-2021-43762
16. december 2021: Rettet prioritetsniveau for bulletin til 2
29. december 2021: Opdateret anerkendelse for CVE-2021-40722
Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com.
