Bulletin-id
Laatst bijgewerkt op
21 sep. 2023
Beveiligingsupdates beschikbaar voor Adobe Experience Manager | APSB23-43
|
|
Publicatiedatum |
Prioriteit |
|---|---|---|
|
APSB23-43 |
12 september 2023 |
3 |
Samenvatting
Adobe heeft updates uitgebracht voor Adobe Experience Manager (AEM). Deze updates verhelpen kwetsbaarheden die zijn beoordeeld als belangrijk. Misbruik van deze kwetsbaarheden kan leiden tot willekeurige code-uitvoering.
Van toepassing op de volgende productversies
| Product | Versie | Platform |
|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alles |
| 6.5.17.0 en eerdere versies |
Alles |
Oplossing
Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies:
Product |
Versie |
Platform |
Prioriteit |
Beschikbaarheid |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service versie 2023.8 |
Alles | 3 | Releaseopmerkingen |
| 6.5.18.0 |
Alles |
3 |
Release-opmerkingen bij AEM 6.5-servicepakket |
Opmerking:
Klanten die op Adobe Experience Manager's Cloud Service draaien, ontvangen automatisch updates die nieuwe functies bevatten, evenals bugfixes voor beveiliging en functionaliteit.
Opmerking:
Beveiligingsoverwegingen voor Experience Manager:
Beveiligingsoverwegingen voor AEM as a Cloud Service
Anonymous Permission Hardening Package
Opmerking:
Neem contact op met de klantenservice van Adobe voor hulp bij versie 6.4, 6.3 en 6.2 van AEM.
Details van kwetsbaarheid
|
Categorie van kwetsbaarheid |
Impact van kwetsbaarheid |
Ernst |
CVSS-basisscore |
CVE-nummer |
|
|---|---|---|---|---|---|
|
Cross-site Scripting (gereflecteerde XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-38214 |
|
Cross-site Scripting (gereflecteerde XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-38215 |
Opmerking:
Als een klant Apache httpd gebruikt in een proxy met een niet-standaard configuratie, kan hij getroffen worden door CVE-2023-25690 - lees hier meer: https://httpd.apache.org/security/vulnerabilities_24.html
Dankbetuigingen
Adobe bedankt de volgende personen voor het melden van deze problemen en voor de samenwerking met Adobe om onze klanten te helpen beschermen:
- Jim Green (green-jam) -- CVE-2023-38214, CVE-2023-38215
OPMERKING: Adobe heeft een privé, alleen-op-uitnodiging, bug bounty-programma met HackerOne. Als u geïnteresseerd bent in een samenwerking met Adobe als externe beveiligingsonderzoeker, vul dan dit formulier in voor de volgende stappen.
Ga voor meer informatie naar https://helpx.adobe.com/nl/security.html of stuur een e-mail naar PSIRT@adobe.com.
