Bulletin-ID
Zuletzt aktualisiert am
30. Dezember 2022
Sicherheits-Updates für Adobe Experience Manager verfügbar | APSB22-59
|
|
Veröffentlichungsdatum |
Priorität |
|---|---|---|
|
APSB22-59 |
13. Dezember 2022 |
3 |
Zusammenfassung
Adobe hat Sicherheitsupdates für Adobe Experience Manager (AEM) veröffentlicht. Diese Updates beheben Sicherheitslücken, die als wichtig und mäßigeingestuft werden. Die erfolgreiche Nutzung dieser Schwachstellen könnte zur Ausführung von beliebigem Code und zur Umgehung von Sicherheitsfunktionen führen.
Betroffene Produktversionen
| Produkt | Version | Plattform |
|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle |
| 6.5.14.0 und frühere Versionen |
Alle |
Lösung
Adobe empfiehlt allen Anwendern die Installation der neuesten Version und stuft die Priorität dieser Updates wie folgt ein:
Produkt |
Version |
Plattform |
Priorität |
Verfügbarkeit |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service Release 2022.10.0 |
Alle | 3 | Versionshinweise |
| 6.5.15.0 |
Alle |
3 |
AEM 6.5 Service Pack – Versionshinweise |
Hinweis:
Kunden, die den Cloud Service von Adobe Experience Manager nutzen, erhalten automatisch Updates mit neuen Funktionen sowie Fehlerbehebungen für Sicherheit und Funktionalität.
Hinweis:
Bitte wenden Sie sich für Hilfe mit den AEM-Versionen 6.4, 6.3 und 6.2 an die Adobe Kundenunterstützung.
Sicherheitslückendetails
|
Sicherheitslückenkategorie |
Sicherheitslückenauswirkung |
Problemstufe |
CVSS-Basispunktzahl |
CVE-Nummer |
|
|---|---|---|---|---|---|
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42345 |
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42346 |
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30679 |
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42348 |
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42349 |
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42350 |
|
Unzulässige Zugriffskontrolle (CWE-284) |
Umgehung der Sicherheitsfunktionen |
Mittel |
4.3 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2022-42351 |
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42352 |
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-35693 |
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42354 |
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N |
CVE-2022-35694 |
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42356 |
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42357 |
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-35695 |
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N |
CVE-2022-35696 |
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42360 |
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42362 |
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42364 |
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42365 |
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N |
CVE-2022-42366 |
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42367 |
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44462 |
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44463 |
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
|
CVE-2022-44465 |
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44466 |
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44467 |
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44468 |
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44469 |
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44470 |
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44471 |
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44473 |
|
Cross-Site-Scripting (XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44474 |
|
URL-Umleitung zu einer nicht vertrauenswürdigen Website ('Open Redirect') (CWE-601) |
Umgehung der Sicherheitsfunktionen |
Mittel |
3.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2022-44488 |
|
Cross-Site-Scripting (Reflektiertes XSS) (CWE-79) |
Willkürliche Ausführung von Code |
Wichtig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44510 |
Updates für Abhängigkeiten
| Abhängigkeit |
Sicherheitslückenauswirkung |
Betroffene Versionen |
| xmlgraphics |
Berechtigungsausweitung | AEM CS AEM 6.5.9.0 und früher |
| ionetty |
Berechtigungsausweitung | AEM CS AEM 6.5.9.0 und früher |
Danksagung
Adobe bedankt sich bei den folgenden Forschern für das Melden dieser Schwachstellen und ihre Zusammenarbeit mit Adobe zum Schutz der Sicherheit unserer Kunden:
- Jim Green (green-jam) --CVE-2022-42345; CVE-2022-30679; CVE-2022-42348; CVE-2022-42349; CVE-2022-42350; CVE-2022-42351; CVE-2022-42352; CVE-2022-35693; CVE-2022-42354; CVE-2022-35694; CVE-2022-42356; CVE-2022-42357; CVE-2022-35695; CVE-2022-35696; CVE-2022-42360; CVE-2022-42362; CVE-2022-42364; CVE-2022-42365; CVE-2022-42366; CVE-2022-42367; CVE-2022-44462; CVE-2022-44463; CVE-2022-44465; CVE-2022-44466; CVE-2022-44467; CVE-2022-44468; CVE-2022-44469; CVE-2022-44470; CVE-2022-44471; CVE-2022-44473; CVE-2022-44474; CVE-2022-44488, CVE-2022-44510
Überarbeitungen
20. Dezember 2022 - CVE-2022-44510 hinzugefügt
14. Dezember 2021: Aktualisierte Bestätigung für CVE-2021-43762
16. Dezember 2021: Die Prioritätsstufe des Bulletins wurde auf 2 korrigiert
29. Dezember 2021: Danksagung für CVE-2021-40722 hinzugefügt
30. September 2022: CVE-2022-28851 hinzugefügt
Weitere Informationen erhalten Sie unter https://helpx.adobe.com/de/security.html oder per E-Mail an PSIRT@adobe.com.
