Tiedotteen tunnus
Päivitetty viimeksi
4. lokakuuta 2022
Adobe Experience Managerin tietoturvapäivitykset | APSB22-40
|
|
Julkaisupäivä |
Prioriteetti |
|---|---|---|
|
APSB22-40 |
13. syyskuuta 2022 |
3 |
Yhteenveto
Adobe on julkaissut päivityksiä Adobe Experience Manageriin (AEM). Näillä päivityksillä korjataan tärkeäksi luokitellut haavoittuvuudet. Jos näitä haavoittuvuuksia onnistutaan hyödyntämään, se voi johtaa mielivaltaisen koodin suorittamiseen ja tietoturvaominaisuuksien ohittamiseen.
Alttiit tuoteversiot
| Tuote | Versio | Ympäristö |
|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Kaikki |
| 6.5.13.0 ja aiemmat versiot |
Kaikki |
Ratkaisu
Adobe luokittelee päivitykset seuraavan prioriteettiluokituksen mukaisesti ja suosittelee käyttäjiä päivittämään asennuksensa uusimpaan versioon:
Tuote |
Versio |
Ympäristö |
Prioriteetti |
Saatavuus |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Kaikki | 3 | Julkaisutiedot |
| 6.5.14.0 |
Kaikki |
3 |
AEM 6.5 Service Packin julkaisutiedot |
Huomautus:
Adobe Experience Managerin Cloud Service -palvelua käyttävät asiakkaat saavat automaattisesti päivityksiä, jotka sisältävät uusia ominaisuuksia, kuten myös tietoturvaan ja toiminnallisuuteen liittyviä virheenkorjauksia.
Huomautus:
Ota yhteyttä Adoben asiakaspalveluun, jos tarvitset apua AEM:n versioihin 6.4, 6.3 ja 6.2 liittyen.
Lisätietoja haavoittuvuuksista
|
Haavoittuvuusluokka |
Haavoittuvuuden vaikutus |
Vakavuus |
CVSS-peruspisteet |
CVE-numero |
|
|---|---|---|---|---|---|
|
Sivustojen välinen skriptaus (XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Tärkeä |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30677 |
|
Sivustojen välinen skriptaus (XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Tärkeä |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30678 |
|
Sivustojen välinen skriptaus (XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Tärkeä |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30680 |
|
Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Tärkeä |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30681 |
|
Sivustojen välinen skriptaus (tallennettu XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Tärkeä |
6.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
CVE-2022-30682 |
|
Turvallisen suunnittelun periaatteiden rikkominen (CWE-657) |
Tietoturvaominaisuuden ohitus |
Tärkeä |
5.3 |
CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-30683 |
|
Sivustojen välinen skriptaus (heijastettu XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Tärkeä |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30684 |
|
Sivustojen välinen skriptaus (heijastettu XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Tärkeä |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30685 |
|
Sivustojen välinen skriptaus (heijastettu XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Tärkeä |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30686 |
|
Sivustojen välinen skriptaus (heijastettu XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Tärkeä |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-35664 |
|
Sivustojen välinen skriptaus (heijastettu XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Tärkeä |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-34218 |
|
Sivustojen välinen skriptaus (heijastettu XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Tärkeä |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-38438 |
|
Sivustojen välinen skriptaus (heijastettu XSS) (CWE-79) |
Mielivaltaisen koodin suoritus |
Tärkeä |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-38439 |
Riippuvuussuhteiden päivitykset
| Riippuvuussuhde |
Haavoittuvuuden vaikutus |
Versiot |
| xmlgraphics |
Käyttöoikeuksien laajennus | AEM CS AEM 6.5.9.0 ja aiemmat versiot |
| ionetty |
Käyttöoikeuksien laajennus | AEM CS AEM 6.5.9.0 ja aiemmat versiot |
Kiitokset
Adobe haluaa kiittää seuraavia henkilöitä näistä ongelmista ilmoittamisesta ja yhteistyöstä Adoben kanssa sen asiakkaiden suojaamisessa:
Jim Green (green-jam) – CVE-2022-30677, CVE-2022-30678, CVE-2022-30680, CVE-2022-30681, CVE-2022-30682, CVE-2022-30683, CVE-2022-30684, CVE-2022-30685, CVE-2022-30686, CVE-2022-35664, CVE-2022-34218, CVE-2022-38438, CVE-2022-38439
Versiot
21. syyskuuta 2022: Lisätty tietoja haavoittuvuuksiin CVE-2022-38438 ja CVE-2022-38439
14.12.2021: Päivitettiin ilmoitusta CVE-2021-43762
16.12.2021: Korjattiin tiedotteen prioriteettitasoksi 2
29. joulukuuta 2021: päivitettiin kiitos haavoittuvuudesta CVE-2021-40722
Saat lisätietoja siirtymällä osoitteeseen https://helpx.adobe.com/fi/security.html tai lähettämällä sähköpostia osoitteeseen PSIRT@adobe.com.
