Adobe sikkerhedsbulletin

Søg

Sikkerhedsopdateringer til Adobe Experience Manager | APSB24-05

Bulletin-ID

Udgivelsesdato

Prioritet

APSB24-05

12. marts 2024

3

Resumé

Adobe har frigivet opdateringer til Adobe Experience Manager (AEM). Disse opdateringer løser vigtige og moderate sikkerhedsproblemer. En udnyttelse af disse sårbarheder kan det resultere i eksekvering af vilkårlig kode og omgåelse af sikkerhedsfunktioner.

Berørte produktversioner

Produkt Version Platform
Adobe Experience Manager (AEM)
 AEM Cloud Service (CS)
 Alle
6.5.19.0 og tidligere versioner 
 Alle

Løsning

Adobe kategoriserer disse opdateringer med følgende prioritetsgrader og anbefaler, at brugere opdaterer deres installation til den nyeste version:

Produkt

Version

Platform

Prioritet

Tilgængelighed
Adobe Experience Manager (AEM) 
 AEM Cloud Service-version 2024.03 
 Alle 3 Produktbemærkninger
6.5.20.0 Alle

3

 Produktbemærkninger til AEM 6.5 Service Pack 
Bemærk:

Kunder, der kører på Adobe Experience Manager’s Cloud Service, vil automatisk modtage opdateringer, som indeholder nye funktioner samt sikkerheds- og funktionsfejlrettelser.  

Bemærk:

Overvejelser om sikkerhed i Experience Manager:

AEM as a Cloud Service Considerations
Anonym tilladelsesforstærkningspakke

Bemærk:

Kontakt Adobes kundeservice for at få assistance til AEM-versionerne 6.4, 6.3 og 6.2.

Sikkerhedsoplysninger

Sikkerhedskategori
 Virkning af sikkerhedsproblem
 Alvorlighed
 CVSS-basisscore
 CVSS-vektor
 CVE-nummer
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26028
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26030
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26031
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26032
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26033
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26034
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26035
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26038
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26040
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26041
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26042
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26043
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26044
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26045
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtig 4,5 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N CVE-2024-26050
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26052
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26056
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26059
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26061
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26062
Afsløring af oplysninger (CWE-200) Sikkerhedsomgåelse Vigtigt 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVE-2024-26063
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26064
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26065
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26067
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26069
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26073
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26080
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26094
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26096
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26102
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26103
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26104
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26105
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26106
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.3 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26107
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26118
Ukorrekt adgangskontrol (CWE-284) Sikkerhedsomgåelse Vigtigt 5.3 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVE-2024-26119
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26120
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26124
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26125
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-20760
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-20768
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt
 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
 CVE-2024-20799
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt
 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
 CVE-2024-20800
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt
 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-26101
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt
 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-41877
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel
 Vigtigt
 5.4 CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVE-2024-41878
Cross-site scripting (lagret XSS) (CWE-79)
 Vilkårlig kodekørsel Moderat 3.4 CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:N/A:N CVE-2024-26051
Bemærk:

Hvis en kunde bruger Apache httpd i en proxy med en anden konfiguration end standardkonfigurationen, kan de være berørt af CVE-2023-25690 - læs mere her: https://httpd.apache.org/security/vulnerabilities_24.html

Tak til følgende personer

Adobe vil gerne takke følgende personer for at rapportere disse sikkerhedsproblemer og for at samarbejde med Adobe for at beskytte vores kunder:

  • Lorenzo Pirondini – CVE-2024-26028, CVE-2024-26032, CVE-2024-26033, CVE-2024-26034, CVE-2024-26035, CVE-2024-26038, CVE-2024-26040, CVE-2024-26041, CVE-2024-26042, CVE-2024-26043, CVE-2024-26044, CVE-2024-26045, CVE-2024-26052, CVE-2024-26059, CVE-2024-26064, CVE-2024-26065, CVE-2024-26073, CVE-2024-26080, CVE-2024-26124, CVE-2024-26125, CVE-2024-20768, CVE-2024-20800
  • Jim Green (green-jam) – CVE-2024-26030, CVE-2024-26031, CVE-2024-26056, CVE-2024-26061, CVE-2024-26062, CVE-2024-26067, CVE-2024-26069, CVE-2024-26094, CVE-2024-26096, CVE-2024-26101, CVE-2024-26102, CVE-2024-26103, CVE-2024-26104, CVE-2024-26105, CVE-2024-26106, CVE-2024-26107, CVE-2024-26118, CVE-2024-26119, CVE-2024-26120, CVE-2024-20760, CVE-2024-20799, CVE-2024-41877, CVE-2024-41878
  • Akshay Sharma (anonymous_blackzero) – CVE-2024-26050, CVE-2024-26051

BEMÆRK: Adobe har et privat bug bounty-program med HackerOne, som kun er åbent for inviterede. Hvis du er interesseret i at arbejde med Adobe som ekstern sikkerhedsforsker, kan du udfylde denne formular for de næste trin.

Revisioner

21. august 2024 – tilføjet CVE-2024-41877 og CVE-2024-41878

20. juni 2024 – tilføjet CVE-2024-26101

12. juni 2024 – fjernet CVE-2024-26126 og CVE-2024-26127

3. april 2024 – tilføjet CVE-2024-20800

1. april 2024 – tilføjet CVE-2024-20799

18. marts 2024 – fjernet CVE-2024-26048

Du kan få yderligere oplysninger på https://helpx.adobe.com/dk/security.html eller ved at skrive til PSIRT@adobe.com.

Få hjælp hurtigere og nemmere

Ny bruger?

Hurtige links

Se alle dine planer Administrer dine planer
Se hurtige links
Skjul hurtige links