Bulletin-ID
Sikkerhetsoppdateringer tilgjengelig for Adobe Experience Manager | APSB22-40
|
Publiseringsdato |
Prioritet |
---|---|---|
APSB22-40 |
13. september 2022 |
3 |
Sammendrag
Adobe har lansert oppdateringer for Adobe Experience Manager (AEM). Disse oppdateringene løser sårbarheter klassifisert som Viktig. Vellykket utnyttelse av disse sårbarhetene kan føre til kjøring av vilkårlig kode og omgåelse av sikkerhetsfunksjoner.
Berørte produktversjoner
Produkt | Versjon | Plattform |
---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle |
Versjon 6.5.13.0 og tidligere |
Alle |
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:
Produkt |
Versjon |
Plattform |
Prioritet |
Tilgjengelighet |
---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle | 3 | Utgivelsesmerknader |
6.5.14.0 |
Alle |
3 |
Produktmerknader for AEM 6.5 Service Pack |
Kunder som kjører på Cloud Experience-tjenesten til Adobe Experience Manager, mottar automatisk oppdateringer som inkluderer nye funksjoner, samt sikkerhets- og funksjonalitetsfeilrettinger.
Kontakt Adobe customer care for assistanse med AEM-versjonene 6.4, 6.3 og 6.2.
Informasjon om sikkerhetsproblemet
Sikkerhetsproblemkategori |
Sikkerhetsprobleminnvirkning |
Alvorlighetsgrad |
CVSS-grunnscore |
CVE-nummer |
|
---|---|---|---|---|---|
Skripting på tvers av nettsteder (XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30677 |
Skripting på tvers av nettsteder (XSS) (CWE-79) |
Vilkårlig kjøring av kode |
Viktig |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30678 |
Skripting på tvers av nettsteder (XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30680 |
Skripting på tvers av nettsteder (lagret XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30681 |
Skripting på tvers av nettsteder (lagret XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig |
6.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N |
CVE-2022-30682 |
Brudd på sikre designprinsipper (CWE-657) |
Omgåelse av sikkerhetsfunksjon |
Viktig |
5.3 |
CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N |
CVE-2022-30683 |
Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30684 |
Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79) |
Vilkårlig kjøring av kode |
Viktig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30685 |
Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30686 |
Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-35664 |
Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79) |
Vilkårlig kjøring av kode |
Viktig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-34218 |
Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-38438 |
Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-38439 |
Oppdateringer av avhengigheter
Avhengighet |
Sikkerhetsprobleminnvirkning |
Berørte versjoner |
xmlgraphics |
Eskalering av rettigheter | AEM CS AEM 6.5.9.0 og tidligere |
ionetty |
Eskalering av rettigheter | AEM CS AEM 6.5.9.0 og tidligere |
Bekreftelser
Adobe takker følgende for at de rapporterte disse problemene, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte våre kunder:
Jim Green (green-jam) --CVE-2022-30677, CVE-2022-30678, CVE-2022-30680, CVE-2022-30681, CVE-2022-30682, CVE-2022-30683, CVE-2022-30684, CVE-2022-30685, CVE-2022-30686, CVE-2022-35664, CVE-2022-34218, CVE-2022-38438, CVE-2022-38439
Revisjoner
14. desember 2021: Oppdatert bekreftelse for CVE-2021-43762
16. desember 2021: Prioritetsnivå for bulletin korrigert til 2
29. desember 2021: Vi har oppdatert bekreftelse for CVE-2021-40722
Hvis du vil ha mer informasjon, kan du se https://helpx.adobe.com/no/security.html eller sende en e-post til PSIRT@adobe.com.