Adobe セキュリティ速報

Adobe Experience Manager に関するセキュリティアップデート公開 | APSB22-59

情報 ID

公開日

優先度

APSB22-59

2022 年 12 月 13 日

3

要約

Adobe Experience Manager (AEM)を対象としたアップデートが公開されました。これらのアップデートは、重要および中度に分類される脆弱性を解決します。  これらの脆弱性が悪用されると、任意のコード実行、セキュリティ機能のバイパスが発生する恐れがあります。

対象の製品バージョン

製品名 バージョン プラットフォーム
Adobe Experience Manager(AEM)
AEM Cloud Service (CS)
すべて
6.5.14.0 以前のバージョン 
すべて

解決策

アドビは、これらのアップデートを次の優先度評価に分類しており、対象製品をご利用のお客様に最新バージョンへのアップグレードを推奨します。

製品名

バージョン

プラットフォーム

優先度

入手方法

Adobe Experience Manager(AEM)
AEM Cloud Service リリース 2022.10.0
すべて 3 リリースノート
6.5.15.0 
すべて

3

AEM 6.5 Service Pack リリースノート
注意:

Adobe Experience Manager の Cloud Service をご利用のお客様には、新機能のほか、セキュリティや機能性のバグ修正を含むアップデートが自動的に配信されます。

注意:

AEM バージョン 6.4、6.3 および 6.2 のサポートについては、アドビカスタマケアにお問い合わせください。

脆弱性に関する詳細

脆弱性のカテゴリー

脆弱性の影響

深刻度

CVSS 基本スコア 

CVE 番号 

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42345

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42346

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30679

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

重要

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42348

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

重要

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42349

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42350

不正なアクセス制御 (CWE-284)

セキュリティ機能のバイパス

中度

4.3

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

CVE-2022-42351

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42352

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-35693

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42354

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N

CVE-2022-35694

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42356

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42357

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-35695

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N

CVE-2022-35696

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42360

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42362

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42364

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42365

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N

CVE-2022-42366

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42367

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44462

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44463

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

 

CVE-2022-44465

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44466

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44467

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44468

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44469

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44470

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44471

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44473

クロスサイトスクリプティング(XSS)

CWE-79

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44474

信頼できないサイトへの URL リダイレクト(「オープンリダイレクト」)(CWE-601

セキュリティ機能のバイパス

中度

3.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

CVE-2022-44488

クロスサイトスクリプティング (Reflected XSS) (CWE-79)

任意のコード実行

重要

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44510

依存関係の更新

依存関係
脆弱性の影響
対象のバージョン
xmlgraphics
権限昇格

AEM CS  

AEM 6.5.9.0 以前 

ionetty
権限昇格

AEM CS  

AEM 6.5.9.0 以前 

謝辞

一連の問題を報告し、ユーザーの保護にご協力いただいた以下の皆様に対し、アドビより厚く御礼を申し上げます。 

 

  • Jim Green 氏(green-jam) --CVE-2022-42345、CVE-2022-30679、CVE-2022-42348、CVE-2022-42349、CVE-2022-42350、CVE-2022-42351、CVE-2022-42352、CVE-2022-35693、CVE-2022-42354、CVE-2022-35694、CVE-2022-42356、CVE-2022-42357、CVE-2022-35695、CVE-2022-35696、CVE-2022-42360、CVE-2022-42362、CVE-2022-42364、CVE-2022-42365、CVE-2022-42366、CVE-2022-42367、CVE-2022-44462、CVE-2022-44463、CVE-2022-44465、CVE-2022-44466、CVE-2022-44467、CVE-2022-44468、CVE-2022-44469、CVE-2022-44470、CVE-2022-44471、CVE-2022-44473、CVE-2022-44474、CVE-2022-44488、CVE-2022-44510

 

更新履歴

2022 年 12 月 20 日 - CVE-2022-44510 を追加

2021 年 12 月 14 日:CVE-2021-43762 の謝辞を更新しました

2021 年 12 月 16 日:情報の優先度を 2 に修正しました

2021 年 12 月 29 日:CVE-2021-40722 に対する謝辞を更新

2022 年 9 月 30 日:CVE-2022-28851 を追加


詳しくは、https://helpx.adobe.com/jp/security.html を参照するか、PSIRT@adobe.com 宛てに電子メールでお問い合わせください。

 Adobe

ヘルプをすばやく簡単に入手

新規ユーザーの場合