Adobe – sikkerhetsbulletin

Sikkerhetsoppdateringer tilgjengelig for Adobe Experience Manager | APSB22-40

Bulletin-ID

Publiseringsdato

Prioritet

APSB22-40

13. september 2022 

3

Sammendrag

Adobe har lansert oppdateringer for Adobe Experience Manager (AEM). Disse oppdateringene løser sårbarheter klassifisert som Viktig.  Vellykket utnyttelse av disse sårbarhetene kan føre til kjøring av vilkårlig kode og omgåelse av sikkerhetsfunksjoner.

Berørte produktversjoner

Produkt Versjon Plattform
Adobe Experience Manager (AEM)
AEM Cloud Service (CS)
Alle
Versjon 6.5.13.0 og tidligere 
Alle

Løsning

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:

Produkt

Versjon

Plattform

Prioritet

Tilgjengelighet

Adobe Experience Manager (AEM) 
AEM Cloud Service (CS)
Alle 3 Utgivelsesmerknader
6.5.14.0 
Alle

3

Produktmerknader for AEM 6.5 Service Pack 
Merk:

Kunder som kjører på Cloud Experience-tjenesten til Adobe Experience Manager, mottar automatisk oppdateringer som inkluderer nye funksjoner, samt sikkerhets- og funksjonalitetsfeilrettinger.  

Merk:

Kontakt Adobe customer care for assistanse med AEM-versjonene 6.4, 6.3 og 6.2.

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori

Sikkerhetsprobleminnvirkning

Alvorlighetsgrad

CVSS-grunnscore 

CVE-nummer 

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Kjøring av vilkårlig kode

Viktig

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30677

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Vilkårlig kjøring av kode

Viktig

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30678

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Kjøring av vilkårlig kode

Viktig

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30680

Skripting på tvers av nettsteder (lagret XSS) (CWE-79)

Kjøring av vilkårlig kode

Viktig

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30681

Skripting på tvers av nettsteder (lagret XSS) (CWE-79)

Kjøring av vilkårlig kode

Viktig

6.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

CVE-2022-30682

Brudd på sikre designprinsipper (CWE-657)

Omgåelse av sikkerhetsfunksjon

Viktig

5.3

CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N

CVE-2022-30683

Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79)

Kjøring av vilkårlig kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30684

Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79)

Vilkårlig kjøring av kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30685

Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79)

Kjøring av vilkårlig kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30686

Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79)

Kjøring av vilkårlig kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-35664

Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79)

Vilkårlig kjøring av kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-34218

Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79)

Kjøring av vilkårlig kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-38438

Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79)

Kjøring av vilkårlig kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-38439

Oppdateringer av avhengigheter

Avhengighet
Sikkerhetsprobleminnvirkning
Berørte versjoner
xmlgraphics
Eskalering av rettigheter

AEM CS  

AEM 6.5.9.0 og tidligere

ionetty
Eskalering av rettigheter

AEM CS  

AEM 6.5.9.0 og tidligere

Bekreftelser

Adobe takker følgende for at de rapporterte disse problemene, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte våre kunder: 

  • Jim Green (green-jam) --CVE-2022-30677, CVE-2022-30678, CVE-2022-30680, CVE-2022-30681, CVE-2022-30682, CVE-2022-30683, CVE-2022-30684, CVE-2022-30685, CVE-2022-30686, CVE-2022-35664,  CVE-2022-34218, CVE-2022-38438, CVE-2022-38439

Revisjoner

21. september 2022: Vi har lagt til detaljer for CVE-2022-38438 og CVE-2022-38439

14. desember 2021: Oppdatert bekreftelse for CVE-2021-43762

16. desember 2021: Prioritetsnivå for bulletin korrigert til 2

29. desember 2021: Vi har oppdatert bekreftelse for CVE-2021-40722


Hvis du vil ha mer informasjon, kan du se https://helpx.adobe.com/no/security.html eller sende en e-post til PSIRT@adobe.com.

 Adobe

Få hjelp raskere og enklere

Ny bruker?

Adobe MAX 2024

Adobe MAX
Kreativitetskonferansen

14.–16. oktober, Miami Beach og på nettet

Adobe MAX

Kreativitetskonferansen

14.–16. oktober, Miami Beach og på nettet

Adobe MAX 2024

Adobe MAX
Kreativitetskonferansen

14.–16. oktober, Miami Beach og på nettet

Adobe MAX

Kreativitetskonferansen

14.–16. oktober, Miami Beach og på nettet