Boletín de seguridad de Adobe

Actualizaciones de seguridad disponibles para Adobe Experience Manager | APSB22-40

ID del boletín

Fecha de publicación

Prioridad

APSB22-40

13 de septiembre de 2022 

3

Resumen

Adobe ha publicado actualizaciones para Adobe Experience Manager (AEM). Estas actualizaciones soluciona vulnerabilidades calificadas como importantes. El aprovechamiento de estas vulnerabilidades podría dar lugar a la ejecución arbitraria de código y la omisión de la función de seguridad.

Versión afectada del producto

Producto Versión Plataforma
Adobe Experience Manager (AEM)
AEM Cloud Service (CS)
Todas
6.5.13.0 y versiones anteriores 
Todas

Solución

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:

Producto

Versión

Plataforma

Prioridad

Disponibilidad

Adobe Experience Manager (AEM) 
AEM Cloud Service (CS)
Todas 3 Notas de la versión
6.5.14.0 
Todas

3

Notas de la versión de AEM 6.5 Service Pack 
Nota:

Los clientes que ejecuten en Cloud Service de Adobe Experience Manager recibirán actualizaciones automáticamente con nuevas funciones, así como correcciones de errores de seguridad y funcionalidad.  

Nota:

Póngase en contacto con el servicio de atención al cliente de Adobe para obtener ayuda relacionada con AEM 6.4, 6.3 y 6.2.

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad

Impacto de la vulnerabilidad

Gravedad

Puntuación base CVSS 

Número CVE 

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30677

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30678

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30680

Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30681

Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79)

Ejecución de código arbitraria

Importante

6.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

CVE-2022-30682

Violación de los principios de diseño seguro (CWE-657)

Omisión de la función de seguridad

Importante

5.3

CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N

CVE-2022-30683

Ejecución de scripts en sitios múltiples (XSS reflejado) (CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30684

Ejecución de scripts en sitios múltiples (XSS reflejado) (CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30685

Ejecución de scripts en sitios múltiples (XSS reflejado) (CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30686

Ejecución de scripts en sitios múltiples (XSS reflejado) (CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-35664

Ejecución de scripts en sitios múltiples (XSS reflejado) (CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-34218

Ejecución de scripts en sitios múltiples (XSS reflejado) (CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-38438

Ejecución de scripts en sitios múltiples (XSS reflejado) (CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-38439

Actualizaciones de dependencias

Dependencia
Impacto de la vulnerabilidad
Versiones afectadas
xmlgraphics
Ampliación de privilegios

AEM CS  

AEM 6.5.9.0 y versiones anteriores

ionetty
Ampliación de privilegios

AEM CS  

AEM 6.5.9.0 y versiones anteriores

Reconocimientos

Adobe desea dar las gracias a las siguientes personas por informar sobre estos problemas y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes: 

  • Jim Green (green-jam) --CVE-2022-30677, CVE-2022-30678, CVE-2022-30680, CVE-2022-30681, CVE-2022-30682, CVE-2022-30683, CVE-2022-30684, CVE-2022-30685, CVE-2022-30686, CVE-2022-35664,  CVE-2022-34218, CVE-2022-38438, CVE-2022-38439

Revisiones

21 de septiembre de 2022: Se han añadido detalles de CVE para CVE-2022-38438 y CVE-2022-38439

14 de diciembre de 2021: Reconocimiento actualizado para CVE-2021-43762

16 de diciembre de 2021: Se ha corregido el nivel de prioridad del boletín a 2

29 de diciembre de 2021: Se ha añadido un reconocimiento para CVE-2021-40722


Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com.

 Adobe

Obtén ayuda de forma más rápida y sencilla

¿Nuevo usuario?