Boletín de seguridad de Adobe

Actualizaciones de seguridad disponibles para Adobe Experience Manager | APSB22-59

ID del boletín

Fecha de publicación

Prioridad

APSB22-59

13 de diciembre de 2022 

3

Resumen

Adobe ha publicado actualizaciones para Adobe Experience Manager (AEM). Estas actualizaciones solucionan vulnerabilidades clasificadas como importantes y moderadas.  El aprovechamiento de estas vulnerabilidades podría dar lugar a la ejecución arbitraria de código y la omisión de la función de seguridad. 

Versión afectada del producto

Producto Versión Plataforma
Adobe Experience Manager (AEM)
AEM Cloud Service (CS)
Todas
6.5.14.0 y versiones anteriores 
Todas

Solución

Adobe categoriza estas actualizaciones de acuerdo con los siguientes niveles de prioridad y recomienda que los usuarios actualicen los programas a las versiones más recientes:

Producto

Versión

Plataforma

Prioridad

Disponibilidad

Adobe Experience Manager (AEM) 
AEM Cloud Service versión 2022.10.0
Todas 3 Notas de la versión
6.5.15.0 
Todas

3

Notas de la versión de AEM 6.5 Service Pack 
Nota:

Los clientes que ejecuten en Cloud Service de Adobe Experience Manager recibirán actualizaciones automáticamente con nuevas funciones, así como correcciones de errores de seguridad y funcionalidad.  

Nota:

Póngase en contacto con el servicio de atención al cliente de Adobe para obtener ayuda relacionada con AEM 6.4, 6.3 y 6.2.

Detalles sobre la vulnerabilidad

Categoría de vulnerabilidad

Impacto de la vulnerabilidad

Gravedad

Puntuación base CVSS 

Número CVE 

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42345

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42346

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30679

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42348

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante 

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42349

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42350

Control de acceso incorrecto (CWE-284)

Omisión de la función de seguridad

Moderado

4.3

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

CVE-2022-42351

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42352

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-35693

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42354

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N

CVE-2022-35694

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42356

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42357

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-35695

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N

CVE-2022-35696

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42360

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42362

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42364

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42365

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N

CVE-2022-42366

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42367

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44462

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44463

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

5.4

:

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

 

CVE-2022-44465

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44466

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44467

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44468

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44469

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44470

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44471

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44473

Secuencias de comandos en sitios cruzados (XSS)

(CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44474

Redirección de URL a sitio no fiable ('Open Redirect') (CWE-601)

Omisión de la función de seguridad

Moderada

3.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

CVE-2022-44488

Ejecución de scripts en sitios múltiples (XSS reflejado) (CWE-79)

Ejecución de código arbitraria

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44510

Actualizaciones de dependencias

Dependencia
Impacto de la vulnerabilidad
Versiones afectadas
xmlgraphics
Ampliación de privilegios

AEM CS  

AEM 6.5.9.0 y versiones anteriores

ionetty
Ampliación de privilegios

AEM CS  

AEM 6.5.9.0 y versiones anteriores

Reconocimientos

Adobe desea dar las gracias a las siguientes personas por informar sobre estos problemas y por colaborar con Adobe para ayudarnos a proteger la seguridad de nuestros clientes: 

 

  • Jim Green (green-jam) --CVE-2022-42345; CVE-2022-30679; CVE-2022-42348; CVE-2022-42349; CVE-2022-42350; CVE-2022-42351; CVE-2022-42352; CVE-2022-35693; CVE-2022-42354; CVE-2022-35694; CVE-2022-42356; CVE-2022-42357; CVE-2022-35695; CVE-2022-35696; CVE-2022-42360; CVE-2022-42362; CVE-2022-42364; CVE-2022-42365; CVE-2022-42366; CVE-2022-42367; CVE-2022-44462; CVE-2022-44463; CVE-2022-44465; CVE-2022-44466; CVE-2022-44467; CVE-2022-44468; CVE-2022-44469; CVE-2022-44470; CVE-2022-44471; CVE-2022-44473; CVE-2022-44474; CVE-2022-44488, CVE-2022-44510

 

Revisiones

20 de diciembre de 2022: Se han añadido detalles de CVE para CVE-2022-44510

14 de diciembre de 2021: Reconocimiento actualizado para CVE-2021-43762

16 de diciembre de 2021: Se ha corregido el nivel de prioridad del boletín a 2

29 de diciembre de 2021: Se ha añadido un reconocimiento para CVE-2021-40722

30 de septiembre de 2022: Añadido CVE-2022-28851


Para obtener más información, visite https://helpx.adobe.com/es/security.html o envíe un correo electrónico a la dirección PSIRT@adobe.com.

 Adobe

Obtén ayuda de forma más rápida y sencilla

¿Nuevo usuario?

Adobe MAX 2024

Adobe MAX
La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX

La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX 2024

Adobe MAX
La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea

Adobe MAX

La conferencia de creatividad

Del 14 al 16 de octubre en Miami Beach y en línea