Bulletin-id
Laatst bijgewerkt op
18 apr. 2024
Beveiligingsupdates beschikbaar voor Adobe Experience Manager | APSB24-21
|
|
Publicatiedatum |
Prioriteit |
|---|---|---|
|
APSB24-21 |
9 april 2024 |
3 |
Samenvatting
Adobe heeft updates uitgebracht voor Adobe Experience Manager (AEM). Deze updates verhelpen kwetsbaarheden die zijn beoordeeld als belangrijk. Misbruik van deze kwetsbaarheden kan leiden tot uitvoering willekeurige code en het omzeilen van beveiligingsfuncties.
Van toepassing op de volgende productversies
| Product | Versie | Platform |
|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alles |
| 6.5.19 en eerdere versies |
Alles |
Oplossing
Adobe heeft aan deze updates de volgende prioriteit toegekend en raadt gebruikers aan hun installatie bij te werken naar de recentste versies:
Product |
Versie |
Platform |
Prioriteit |
Beschikbaarheid |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service versie 2024.03 |
Alles | 3 | Releaseopmerkingen |
| 6.5.20 | Alles |
3 |
Release-opmerkingen bij AEM 6.5-servicepakket |
Opmerking:
Klanten die op Adobe Experience Manager's Cloud Service draaien, ontvangen automatisch updates die nieuwe functies bevatten, evenals bugfixes voor beveiliging en functionaliteit.
Opmerking:
Beveiligingsoverwegingen voor Experience Manager:
Beveiligingsoverwegingen voor AEM as a Cloud Service
Anonymous Permission Hardening Package
Opmerking:
Neem contact op met de klantenservice van Adobe voor hulp bij versie 6.4, 6.3 en 6.2 van AEM.
Details van kwetsbaarheid
| Categorie van kwetsbaarheid |
Impact van kwetsbaarheid |
Ernst |
CVSS-basisscore |
CVSS-vector |
CVE-nummer |
| Cross-site scripting (opgeslagen XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26046 |
| Cross-site scripting (opgeslagen XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26047 |
| Blootstelling van informatie (CWE-200) | Omzeiling van beveiligingsfunctie | Belangrijk | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C: | CVE-2024-26076 |
| Cross-site scripting (opgeslagen XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26079 |
| Cross-site scripting (opgeslagen XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26084 |
| Cross-site scripting (opgeslagen XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26087 |
| Cross-site scripting (opgeslagen XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26097 |
| Cross-site scripting (opgeslagen XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26098 |
| Cross-site scripting (opgeslagen XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26122 |
| Cross-site scripting (opgeslagen XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-20778 |
| Cross-site scripting (opgeslagen XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-20779 |
| Cross-site scripting (opgeslagen XSS) (CWE-79) |
Uitvoering van willekeurige code |
Belangrijk | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-20780 |
Opmerking:
Als een klant Apache httpd gebruikt in een proxy met een niet-standaard configuratie, kan hij getroffen worden door CVE-2023-25690 - lees hier meer: https://httpd.apache.org/security/vulnerabilities_24.html
Dankbetuigingen
Adobe bedankt de volgende personen voor het melden van deze problemen en voor de samenwerking met Adobe om onze klanten te helpen beschermen:
- Lorenzo Pirondini -- CVE-2024-26047, CVE-2024-26076, CVE-2024-26079, CVE-2024-26084,
- Jim Green (green-jam) -- CVE-2024-26087, CVE-2024-26097, CVE-2024-26098, CVE-2024-26122, CVE-2024-20778 CVE-2024-20779 CVE-2024-20780
- Akshay Sharma (anonymous_blackzero) -- CVE-2024-26046
OPMERKING: Adobe heeft een privé, alleen-op-uitnodiging, bug bounty-programma met HackerOne. Als u geïnteresseerd bent in een samenwerking met Adobe als externe beveiligingsonderzoeker, vul dan dit formulier in voor de volgende stappen.
Ga voor meer informatie naar https://helpx.adobe.com/nl/security.html of stuur een e-mail naar PSIRT@adobe.com.
