ID bollettino
Ultimo aggiornamento il
30 dic 2022
Aggiornamenti di sicurezza disponibili per Adobe Experience Manager | APSB22-59
|
|
Data di pubblicazione |
Priorità |
|---|---|---|
|
APSB22-59 |
13 dicembre 2022 |
3 |
Riepilogo
Adobe ha rilasciato aggiornamenti per Adobe Experience Manager (AEM). Questi aggiornamenti risolvono vulnerabilità Importanti e Critiche. Lo sfruttamento efficace di queste vulnerabilità potrebbe causare l'esecuzione di codice arbitrario e l'aggiornamento delle funzioni di sicurezza.
Versioni del prodotto interessate
| Prodotto | Versione | Piattaforma |
|---|---|---|
| Adobe Experience Manager (AEM) |
Cloud Service AEM (CS) |
Tutte |
| 6.5.14.0 e versioni precedenti |
Tutte |
Soluzione
Adobe classifica questi aggiornamenti in base ai seguenti livelli di priorità e consiglia agli utenti interessati di aggiornare la propria installazione alla versione più recente:
Prodotto |
Versione |
Piattaforma |
Priorità |
Disponibilità |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
Servizio AEM Cloud release 2022.10.0 |
Tutte | 3 | Note sul rilascio |
| 6.5.15.0 |
Tutte |
3 |
Note sulla versione AEM 6.5 Service Pack |
Nota:
I clienti in esecuzione sul Cloud Service di Adobe Experience Manager riceveranno automaticamente aggiornamenti che includono nuove funzioni, nonché correzioni di bug di sicurezza e funzionalità.
Nota:
Per ricevere assistenza sulle versioni di AEM 6.4, 6.3 e 6.2, gli utenti possono contattare l'Assistenza clienti Adobe.
Dettagli della vulnerabilità
|
Categoria della vulnerabilità |
Impatto della vulnerabilità |
Gravità |
Punteggio base CVSS |
Codice CVE |
|
|---|---|---|---|---|---|
|
Vulnerabilità cross-site scripting (XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42345 |
|
Vulnerabilità cross-site scripting (XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42346 |
|
Vulnerabilità cross-site scripting (XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30679 |
|
Vulnerabilità cross-site scripting (XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42348 |
|
Vulnerabilità cross-site scripting (XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42349 |
|
Vulnerabilità cross-site scripting (XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42350 |
|
Controllo di accesso non corretto (CWE-284) |
Aggiramento della funzione di sicurezza |
Moderata |
4.3 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2022-42351 |
|
Vulnerabilità cross-site scripting (XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42352 |
|
Vulnerabilità cross-site scripting (XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-35693 |
|
Vulnerabilità cross-site scripting (XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42354 |
|
Vulnerabilità cross-site scripting (XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N |
CVE-2022-35694 |
|
Vulnerabilità cross-site scripting (XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42356 |
|
Vulnerabilità cross-site scripting (XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42357 |
|
Vulnerabilità cross-site scripting (XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-35695 |
|
Vulnerabilità cross-site scripting (XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N |
CVE-2022-35696 |
|
Vulnerabilità cross-site scripting (XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42360 |
|
Vulnerabilità cross-site scripting (XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42362 |
|
Vulnerabilità cross-site scripting (XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42364 |
|
Vulnerabilità cross-site scripting (XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42365 |
|
Vulnerabilità cross-site scripting (XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N |
CVE-2022-42366 |
|
Vulnerabilità cross-site scripting (XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42367 |
|
Vulnerabilità cross-site scripting (XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44462 |
|
Vulnerabilità cross-site scripting (XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44463 |
|
Vulnerabilità cross-site scripting (XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
|
CVE-2022-44465 |
|
Vulnerabilità cross-site scripting (XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44466 |
|
Vulnerabilità cross-site scripting (XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44467 |
|
Vulnerabilità cross-site scripting (XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44468 |
|
Vulnerabilità cross-site scripting (XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44469 |
|
Vulnerabilità cross-site scripting (XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44470 |
|
Vulnerabilità cross-site scripting (XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44471 |
|
Vulnerabilità cross-site scripting (XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44473 |
|
Vulnerabilità cross-site scripting (XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44474 |
|
Reindirizzamento dell'URL a un sito non attendibile ('Open Redirect') (CWE-601) |
Aggiramento della funzione di sicurezza |
Moderata |
3.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2022-44488 |
|
Cross-site scripting (riflesso XSS) (CWE-79) |
Esecuzione di codice arbitrario |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44510 |
Aggiornamenti alle dipendenze
| Dipendenza |
Impatto della vulnerabilità |
Versioni interessate |
| xmlgraphics |
Acquisizione illecita di privilegi | AEM CS AEM 6.5.9.0 e versioni precedenti |
| ionetty |
Acquisizione illecita di privilegi | AEM CS AEM 6.5.9.0 e versioni precedenti |
Ringraziamenti
Adobe desidera ringraziare i ricercatori seguenti per la collaborazione e per aver segnalato i problemi specifici, contribuendo così a proteggere la sicurezza dei nostri clienti:
- Jim Green (green-jam) --CVE-2022-42345; CVE-2022-30679; CVE-2022-42348; CVE-2022-42349; CVE-2022-42350; CVE-2022-42351; CVE-2022-42352; CVE-2022-35693; CVE-2022-42354; CVE-2022-35694; CVE-2022-42356; CVE-2022-42357; CVE-2022-35695; CVE-2022-35696; CVE-2022-42360; CVE-2022-42362; CVE-2022-42364; CVE-2022-42365; CVE-2022-42366; CVE-2022-42367; CVE-2022-44462; CVE-2022-44463; CVE-2022-44465; CVE-2022-44466; CVE-2022-44467; CVE-2022-44468; CVE-2022-44469; CVE-2022-44470; CVE-2022-44471; CVE-2022-44473; CVE-2022-44474; CVE-2022-44488, CVE-2022-44510
Revisioni
20 dicembre 2022 - Aggiunto CVE-2022-44510
14 dicembre 2021: riconoscimento aggiornato per CVE-2021-43762
16 dicembre 2021: livello di priorità del bollettino corretto a 2
29 dicembre 2021: È stato aggiunto un ringraziamento per CVE-2021-40722
30 settembre 2022: aggiunto CVE-2022-28851
Per ulteriori informazioni, visitare il sito https://helpx.adobe.com/it/security.html o inviare un'e-mail a PSIRT@adobe.com.
