ID del boletín
Actualizaciones de seguridad disponibles para Adobe Experience Manager | APSB22-40
|
Fecha de publicación |
Prioridad |
---|---|---|
APSB22-40 |
13 de septiembre de 2022 |
3 |
Resumen
Adobe ha publicado actualizaciones para Adobe Experience Manager (AEM). Estas actualizaciones soluciona vulnerabilidades calificadas como importantes. El aprovechamiento de estas vulnerabilidades podría dar lugar a la ejecución arbitraria de código y la omisión de la función de seguridad.
Versión afectada del producto
Producto | Versión | Plataforma |
---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Todas |
6.5.13.0 y versiones anteriores |
Todas |
Solución
Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:
Producto |
Versión |
Plataforma |
Prioridad |
Disponibilidad |
---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Todas | 3 | Notas de la versión |
6.5.14.0 |
Todas |
3 |
Notas de la versión de AEM 6.5 Service Pack |
Los clientes que ejecuten en Cloud Service de Adobe Experience Manager recibirán actualizaciones automáticamente con nuevas funciones, así como correcciones de errores de seguridad y funcionalidad.
Póngase en contacto con el servicio de atención al cliente de Adobe para obtener ayuda relacionada con AEM 6.4, 6.3 y 6.2.
Detalles sobre la vulnerabilidad
Categoría de vulnerabilidad |
Impacto de la vulnerabilidad |
Gravedad |
Puntuación base CVSS |
Número CVE |
|
---|---|---|---|---|---|
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30677 |
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30678 |
Secuencias de comandos en sitios cruzados (XSS) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30680 |
Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30681 |
Secuencias de comandos en sitios cruzados (XSS almacenadas) (CWE-79) |
Ejecución de código arbitraria |
Importante |
6.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
CVE-2022-30682 |
Violación de los principios de diseño seguro (CWE-657) |
Omisión de la función de seguridad |
Importante |
5.3 |
CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-30683 |
Ejecución de scripts en sitios múltiples (XSS reflejado) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30684 |
Ejecución de scripts en sitios múltiples (XSS reflejado) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30685 |
Ejecución de scripts en sitios múltiples (XSS reflejado) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30686 |
Ejecución de scripts en sitios múltiples (XSS reflejado) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-35664 |
Ejecución de scripts en sitios múltiples (XSS reflejado) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-34218 |
Ejecución de scripts en sitios múltiples (XSS reflejado) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-38438 |
Ejecución de scripts en sitios múltiples (XSS reflejado) (CWE-79) |
Ejecución de código arbitraria |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-38439 |
Actualizaciones de dependencias
Dependencia |
Impacto de la vulnerabilidad |
Versiones afectadas |
xmlgraphics |
Ampliación de privilegios | AEM CS AEM 6.5.9.0 y versiones anteriores |
ionetty |
Ampliación de privilegios | AEM CS AEM 6.5.9.0 y versiones anteriores |
Reconocimientos
Adobe desea dar las gracias a las siguientes personas por informar sobre estos problemas y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes:
Jim Green (green-jam) --CVE-2022-30677, CVE-2022-30678, CVE-2022-30680, CVE-2022-30681, CVE-2022-30682, CVE-2022-30683, CVE-2022-30684, CVE-2022-30685, CVE-2022-30686, CVE-2022-35664, CVE-2022-34218, CVE-2022-38438, CVE-2022-38439
Revisiones
14 de diciembre de 2021: Reconocimiento actualizado para CVE-2021-43762
16 de diciembre de 2021: Se ha corregido el nivel de prioridad del boletín a 2
29 de diciembre de 2021: Se ha añadido un reconocimiento para CVE-2021-40722
Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com.