Bulletin-ID
Zuletzt aktualisiert am
4. Oktober 2022
Sicherheits-Updates für Adobe Experience Manager verfügbar | APSB22-40
|
|
Veröffentlichungsdatum |
Priorität |
|---|---|---|
|
APSB22-40 |
13. September 2022 |
3 |
Zusammenfassung
Adobe hat Sicherheitsupdates für Adobe Experience Manager (AEM) veröffentlicht. Diese Updates beheben Sicherheitslücken, die als Wichtig eingestuft wurden. Die erfolgreiche Nutzung dieser Schwachstellen könnte zur Ausführung von beliebigem Code und zur Umgehung von Sicherheitsfunktionen führen.
Betroffene Produktversionen
| Produkt | Version | Plattform |
|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle |
| 6.5.13.0 und frühere Versionen |
Alle |
Lösung
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:
Produkt |
Version |
Plattform |
Priorität |
Verfügbarkeit |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle | 3 | Versionshinweise |
| 6.5.14.0 |
Alle |
3 |
AEM 6.5 Service Pack – Versionshinweise |
Hinweis:
Kunden, die den Cloud Service von Adobe Experience Manager nutzen, erhalten automatisch Updates mit neuen Funktionen sowie Fehlerbehebungen für Sicherheit und Funktionalität.
Hinweis:
Bitte wenden Sie sich für Hilfe mit den AEM-Versionen 6.4, 6.3 und 6.2 an die Adobe Kundenunterstützung.
Sicherheitslückendetails
|
Sicherheitslückenkategorie |
Sicherheitslückenauswirkung |
Problemstufe |
CVSS-Basispunktzahl |
CVE-Nummer |
|
|---|---|---|---|---|---|
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30677 |
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30678 |
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30680 |
|
Cross-Site-Scripting (beständiges XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30681 |
|
Cross-Site-Scripting (beständiges XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
6.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
CVE-2022-30682 |
|
Verletzung sicherer Designgrundsätze (CWE-657) |
Umgehung der Sicherheitsfunktionen |
Wichtig |
5.3 |
CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-30683 |
|
Cross-Site-Scripting (Reflektiertes XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30684 |
|
Cross-Site-Scripting (Reflektiertes XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30685 |
|
Cross-Site-Scripting (Reflektiertes XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30686 |
|
Cross-Site-Scripting (Reflektiertes XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-35664 |
|
Cross-Site-Scripting (Reflektiertes XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-34218 |
|
Cross-Site-Scripting (Reflektiertes XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-38438 |
|
Cross-Site-Scripting (Reflektiertes XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-38439 |
Updates für Abhängigkeiten
| Abhängigkeit |
Sicherheitslückenauswirkung |
Betroffene Versionen |
| xmlgraphics |
Berechtigungsausweitung | AEM CS AEM 6.5.9.0 und früher |
| ionetty |
Berechtigungsausweitung | AEM CS AEM 6.5.9.0 und früher |
Danksagung
Adobe bedankt sich bei den folgenden Forschern für das Melden dieser Schwachstellen und ihre Zusammenarbeit mit Adobe zum Schutz der Sicherheit unserer Kunden:
Jim Green (green-jam) – CVE-2022-30677, CVE-2022-30678, CVE-2022-30680, CVE-2022-30681, CVE-2022-30682, CVE-2022-30683, CVE-2022-30684, CVE-2022-30685, CVE-2022-30686, CVE-2022-35664, CVE-2022-34218, CVE-2022-38438, CVE-2022-38439
Überarbeitungen
21. September 2022: CVE-Details für CVE-2022-38438 und CVE-2022-38439 hinzugefügt
14. Dezember 2021: Aktualisierte Bestätigung für CVE-2021-43762
16. Dezember 2021: Die Prioritätsstufe des Bulletins wurde auf 2 korrigiert
29. Dezember 2021: Danksagung für CVE-2021-40722 hinzugefügt
Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com.
