Bulletin-id
Laatst bijgewerkt op
25 sep. 2023
Beveiligingsupdates beschikbaar voor Adobe Experience Manager | APSB23-31
|
|
Publicatiedatum |
Prioriteit |
|---|---|---|
|
APSB23-31 |
13 juni 2023 |
3 |
Samenvatting
Adobe heeft updates uitgebracht voor Adobe Experience Manager (AEM). Met deze updates worden kwetsbaarheden verholpen die als belangrijk en gemiddeld zijn aangeduid in Adobe Experience Manager, inclusief afhankelijke derden. Misbruik van deze kwetsbaarheden kan leiden tot het uitvoeren van willekeurige code, Denial-of-Service en het omzeilen van beveiligingsfuncties.
Van toepassing op de volgende productversies
| Product | Versie | Platform |
|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alles |
| 6.5.16.0 en eerdere versies |
Alles |
Oplossing
Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies:
Product |
Versie |
Platform |
Prioriteit |
Beschikbaarheid |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service versie 2023.4 |
Alles | 3 | Releaseopmerkingen |
| 6.5.17.0 | Alles |
3 |
Release-opmerkingen bij AEM 6.5-servicepakket |
Opmerking:
Klanten die op Adobe Experience Manager's Cloud Service draaien, ontvangen automatisch updates die nieuwe functies bevatten, evenals bugfixes voor beveiliging en functionaliteit.
Opmerking:
Beveiligingsoverwegingen voor Experience Manager:
Beveiligingsoverwegingen voor AEM as a Cloud Service
Anonymous Permission Hardening Package
Opmerking:
Neem contact op met de klantenservice van Adobe voor hulp bij versie 6.4, 6.3 en 6.2 van AEM.
Details van kwetsbaarheid
|
Categorie van kwetsbaarheid |
Impact van kwetsbaarheid |
Ernst |
CVSS-basisscore |
CVE-nummer |
|
|---|---|---|---|---|---|
|
Cross-site Scripting (gereflecteerde XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-29304 |
|
URL-omleiding naar niet-vertrouwde site (Open omleiding) (CWE-601) |
Omzeiling van beveiligingsfunctie |
Matig |
3.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N |
CVE-2023-29307 |
|
Cross-site Scripting (gereflecteerde XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-29322 |
|
Cross-site Scripting (gereflecteerde XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-29302 |
Updates voor afhankelijke derden
| CVE | Afhankelijke derde |
Impact van kwetsbaarheid |
Van toepassing op de volgende versies |
| CVE-2023-26513 |
Apache Sling |
Denial-of-Service |
AEM CS AEM 6.5.16.0 en eerdere versies |
| CVE-2022-26336 |
Apache POI |
Denial-of-Service |
AEM CS AEM 6.5.16.0 en eerdere versies |
Opmerking:
Als een klant Apache httpd gebruikt in een proxy met een niet-standaard configuratie, kan hij getroffen worden door CVE-2023-25690 - lees hier meer: https://httpd.apache.org/security/vulnerabilities_24.html
Dankbetuigingen
Adobe bedankt de volgende personen voor het melden van deze problemen en voor de samenwerking met Adobe om onze klanten te helpen beschermen:
- Jim Green (green-jam) -- CVE-2023-29304, CVE-2023-29302
- Osama Yousef (osamayousef) -- CVE-2023-29307
- Lorenzo Pirondini -- CVE-2023-29322
OPMERKING: Adobe heeft een privé, alleen-op-uitnodiging, bug bounty-programma met HackerOne. Als u geïnteresseerd bent in een samenwerking met Adobe als externe beveiligingsonderzoeker, vul dan dit formulier in voor de volgende stappen.
Revisies
19 september 2023 - Updates voor afhankelijke derden
11 juli 2023 - Updates voor afhankelijke derden herzien.
15 juni 2023 - Onderzoeker "lpi" gewijzigd in "Lorenzo Pirondini".
Ga voor meer informatie naar https://helpx.adobe.com/nl/security.html of stuur een e-mail naar PSIRT@adobe.com.
