安全性公告 ID
Adobe Experience Manager 安全性更新 | APSB24-05
|
發布日期 |
優先順序 |
---|---|---|
APSB24-05 |
2024 年 3 月 12 日 |
3 |
摘要
受影響的產品版本
產品 | 版本 | 平台 |
---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
全部 |
6.5.19.0 (含) 以前版本 |
全部 |
解決方法
Adobe 依照下列優先順序分級將這些更新分類,並建議使用者將其安裝更新至最新版本:
產品 |
版本 |
平台 |
優先順序 |
上市情況 |
---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service 版本 2024.03 |
全部 | 3 | 版本注意事項 |
6.5.20.0 | 全部 |
3 |
AEM 6.5 Service Pack 發行說明 |
若客戶執行的是 Adobe Experience Manager 的 Cloud Service,系統會自動接收更新,包括新功能以及安全性與功能錯誤修正。
Experience Manager 安全性考量:
若需尋求 AEM 6.4、6.3 和 6.2 等版本的相關協助,請洽詢 Adobe 客戶服務。
漏洞詳細資料
弱點類別 |
弱點影響 |
嚴重性 |
CVSS 基本評分 |
CVSS 向量 |
CVE 編號 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26028 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26030 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26031 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26032 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26033 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26034 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26035 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26038 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26040 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26041 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26042 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26043 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26044 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26045 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 4.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N | CVE-2024-26050 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26052 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26056 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26059 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26061 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26062 |
資訊外洩 (CWE-200) | 無故略過安全功能 | 重要 | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CVE-2024-26063 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26064 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26065 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26067 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26069 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26073 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26080 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26094 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26096 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26102 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26103 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26104 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26105 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26106 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26107 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26118 |
存取控制不當 (CWE-284) | 無故略過安全功能 | 重要 | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CVE-2024-26119 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26120 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26124 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26125 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-20760 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-20768 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 |
5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-20799 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 |
5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-20800 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 |
5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26101 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 |
5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-41877 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 |
重要 |
5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-41878 |
跨網站指令碼 (已儲存 XSS) (CWE-79) |
任意執行程式碼 | 中度 | 3.4 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:N/A:N | CVE-2024-26051 |
如果客戶在具有非預設設定的 proxy 中使用 Apache httpd,他們可能會受到 CVE-2023-25690 影響- 如需更多資訊,請參閱此網頁:https://httpd.apache.org/security/vulnerabilities_24.html
鳴謝
Adobe 在此感謝以下人員回報這些問題,與 Adobe 共同保護我們的客戶:
- Lorenzo Pirondini -- CVE-2024-26028、CVE-2024-26032、CVE-2024-26033、CVE-2024-26034、CVE-2024-26035、CVE-2024-26038、CVE-2024-26040、CVE-2024-26041、CVE-2024-26042、CVE-2024-26043、CVE-2024-26044、CVE-2024-26045、CVE-2024-26052、CVE-2024-26059、CVE-2024-26064、CVE-2024-26065、CVE-2024-26073、CVE-2024-26080、CVE-2024-26124、CVE-2024-26125、CVE-2024-20768、CVE-2024-20800
- Jim Green (green-jam) -- CVE-2024-26030、CVE-2024-26031、CVE-2024-26056、CVE-2024-26061、CVE-2024-26062、CVE-2024-26067、CVE-2024-26069、CVE-2024-26094、CVE-2024-26096、CVE-2024-26101、CVE-2024-26102、CVE-2024-26103、CVE-2024-26104、CVE-2024-26105、CVE-2024-26106、CVE-2024-26107、CVE-2024-26118、CVE-2024-26119、CVE-2024-26120、CVE-2024-20760、CVE-2024-20799、CVE-2024-41877、CVE-2024-41878
- Akshay Sharma (anonymous_blackzero) -- CVE-2024-26050、CVE-2024-26051
備註:Adobe 與 HackerOne 有一個僅限邀請參加的非公開錯誤懸賞計畫。如果您有興趣以外部安全研究人員身分與 Adobe 合作,請填寫此表單以完成後續步驟。
修訂
2024 年 8 月 21 日 - 新增 CVE-2024-41877 和 CVE-2024-41878
2024 年 6 月 20 日 - 新增 CVE-2024-26101
2024 年 6 月 12 日 - 移除了 CVE-2024-26126 和 CVE-2024-26127
2024 年 4 月 3 日 - 新增 CVE-2024-20800
2024 年 4 月 1 日 - 新增 CVE-2024-20799
2024 年 3 月 18 日 - 移除了 CVE-2024-26048
如需詳細資訊,請造訪 https://helpx.adobe.com/tw/security.html,或傳送電子郵件至 PSIRT@adobe.com。