Bulletin-id
Laatst bijgewerkt op
4 okt. 2022
Beveiligingsupdates beschikbaar voor Adobe Experience Manager | APSB22-40
|
|
Publicatiedatum |
Prioriteit |
|---|---|---|
|
APSB22-40 |
13 september 2022 |
3 |
Samenvatting
Adobe heeft updates uitgebracht voor Adobe Experience Manager (AEM). Deze updates lossen kwetsbaarheden op die zijn beoordeeld als Belangrijk. Misbruik van deze kwetsbaarheden kan leiden tot uitvoering willekeurige code en het omzeilen van beveiligingsfuncties.
Van toepassing op de volgende productversies
| Product | Versie | Platform |
|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alles |
| 6.5.13.0 en eerdere versies |
Alles |
Oplossing
Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies:
Product |
Versie |
Platform |
Prioriteit |
Beschikbaarheid |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alles | 3 | Releaseopmerkingen |
| 6.5.14.0 |
Alles |
3 |
Release-opmerkingen bij AEM 6.5-servicepakket |
Opmerking:
Klanten die op Adobe Experience Manager's Cloud Service draaien, ontvangen automatisch updates die nieuwe functies bevatten, evenals bugfixes voor beveiliging en functionaliteit.
Opmerking:
Neem contact op met de klantenservice van Adobe voor hulp bij versie 6.4, 6.3 en 6.2 van AEM.
Details van kwetsbaarheid
|
Categorie van kwetsbaarheid |
Impact van kwetsbaarheid |
Ernst |
CVSS-basisscore |
CVE-nummer |
|
|---|---|---|---|---|---|
|
Scripts die verwijzen naar andere sites (XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30677 |
|
Scripts die verwijzen naar andere sites (XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30678 |
|
Scripts die verwijzen naar andere sites (XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30680 |
|
Cross-site scripting (opgeslagen XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30681 |
|
Cross-site scripting (opgeslagen XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk |
6.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
CVE-2022-30682 |
|
Schending van de principes van Secure Design (CWE-657) |
Omzeiling van beveiligingsfunctie |
Belangrijk |
5.3 |
CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-30683 |
|
Cross-site Scripting (gereflecteerde XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30684 |
|
Cross-site Scripting (gereflecteerde XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30685 |
|
Cross-site Scripting (gereflecteerde XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30686 |
|
Cross-site Scripting (gereflecteerde XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-35664 |
|
Cross-site Scripting (gereflecteerde XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-34218 |
|
Cross-site Scripting (gereflecteerde XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-38438 |
|
Cross-site Scripting (gereflecteerde XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-38439 |
Updates voor afhankelijkheden
| Afhankelijkheid |
Impact van kwetsbaarheid |
Van toepassing op de volgende versies |
| xmlgraphics |
Escalatie van bevoegdheden | AEM CS AEM 6.5.9.0 en eerdere versies |
| ionetty |
Escalatie van bevoegdheden | AEM CS AEM 6.5.9.0 en eerdere versies |
Dankbetuigingen
Adobe bedankt de volgende personen voor het melden van deze problemen en voor de samenwerking met Adobe om onze klanten te helpen beschermen:
Jim Green (green-jam) --CVE-2022-30677, CVE-2022-30678, CVE-2022-30680, CVE-2022-30681, CVE-2022-30682, CVE-2022-30683, CVE-2022-30684, CVE-2022-30685, CVE-2022-30686, CVE-2022-35664, CVE-2022-34218, CVE-2022-38438, CVE-2022-38439
Revisies
21 September 2022 - CVE details toegevoegd voor CVE-2022-38438 en CVE-2022-38439
14 december 2021: Bijgewerkte bevestiging voor CVE-2021-43762
16 december 2021: prioriteitsniveau van bulletin gecorrigeerd naar 2
29 december 2021: Bijgewerkte dankbetuiging voor CVE-2021-40722
Ga voor meer informatie naar https://helpx.adobe.com/nl/security.html of stuur een e-mail naar PSIRT@adobe.com.
