Adobe セキュリティ速報

Adobe Experience Manager に関するセキュリティアップデート公開 | APSB22-40

情報 ID

公開日

優先度

APSB22-40

2022 年 9 月 13 日

3

要約

Adobe Experience Manager (AEM)を対象としたアップデートが公開されました。これらのアップデートは重要と評価された脆弱性を解決します。  これらの脆弱性が悪用されると、任意のコード実行、セキュリティ機能のバイパスが発生する恐れがあります。

対象の製品バージョン

製品名 バージョン プラットフォーム
Adobe Experience Manager(AEM)
AEM Cloud Service (CS)
すべて
6.5.13.0 以前のバージョン 
すべて

解決策

アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名

バージョン

プラットフォーム

優先度

入手方法

Adobe Experience Manager(AEM)
AEM Cloud Service (CS)
すべて 3 リリースノート
6.5.14.0 
すべて

3

AEM 6.5 Service Pack リリースノート
注意:

Adobe Experience Manager の Cloud Service をご利用のお客様には、新機能のほか、セキュリティや機能性のバグ修正を含むアップデートが自動的に配信されます。

注意:

AEM バージョン 6.4、6.3 および 6.2 のサポートについては、アドビカスタマケアにお問い合わせください。

脆弱性に関する詳細

脆弱性のカテゴリー

脆弱性の影響

深刻度

CVSS 基本スコア 

CVE 番号 

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

重要

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30677

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

重要

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30678

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

重要

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30680

クロスサイトスクリプティング (保存済み XSS) (CWE-79)

任意のコード実行

重要

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30681

クロスサイトスクリプティング (保存済み XSS) (CWE-79)

任意のコード実行

重要

6.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

CVE-2022-30682

安全な設計原則への違反 (CWE-657)

セキュリティ機能のバイパス

重要

5.3

CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N

CVE-2022-30683

クロスサイトスクリプティング (Reflected XSS) (CWE-79)

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30684

クロスサイトスクリプティング (Reflected XSS) (CWE-79)

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30685

クロスサイトスクリプティング (Reflected XSS) (CWE-79)

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30686

クロスサイトスクリプティング (Reflected XSS) (CWE-79)

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-35664

クロスサイトスクリプティング (Reflected XSS) (CWE-79)

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-34218

クロスサイトスクリプティング (Reflected XSS) (CWE-79)

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-38438

クロスサイトスクリプティング (Reflected XSS) (CWE-79)

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-38439

依存関係の更新

依存関係
脆弱性の影響
対象のバージョン
xmlgraphics
権限昇格

AEM CS  

AEM 6.5.9.0 以前 

ionetty
権限昇格

AEM CS  

AEM 6.5.9.0 以前 

謝辞

一連の問題を報告し、ユーザーの保護にご協力いただいた以下の皆様に対し、アドビより厚く御礼を申し上げます。 

  • Jim Green 氏(green-jam) --CVE-2022-30677、CVE-2022-30678、CVE-2022-30680、CVE-2022-30681、CVE-2022-30682、CVE-2022-30683、CVE-2022-30684、CVE-2022-30685、CVE-2022-30686、CVE-2022-35664、CVE-2022-34218、CVE-2022-38438、CVE-2022-38439 

更新履歴

2022 年 9 月 21 日:CVE-2022-38438 および CVE-2022-38439 の CVE 詳細を追加しました。

2021 年 12 月 14 日:CVE-2021-43762 の謝辞を更新しました

2021 年 12 月 16 日:情報の優先度を 2 に修正しました

2021 年 12 月 29 日:CVE-2021-40722 に対する謝辞を更新


詳しくは、https://helpx.adobe.com/jp/security.html を参照するか、PSIRT@adobe.com 宛てに電子メールでお問い合わせください。

 Adobe

ヘルプをすばやく簡単に入手

新規ユーザーの場合