Adobe – sikkerhetsbulletin

Sikkerhetsoppdateringer tilgjengelig for Adobe Experience Manager | APSB22-59

Bulletin-ID

Publiseringsdato

Prioritet

APSB22-59

13. desember 2022 

3

Sammendrag

Adobe har lansert oppdateringer for Adobe Experience Manager (AEM). Disse oppdateringene løser sårbarheter klassifisert som Viktig og Moderat.  Vellykket utnyttelse av disse sårbarhetene kan føre til kjøring av vilkårlig kode og omgåelse av sikkerhetsfunksjoner. 

Berørte produktversjoner

Produkt Versjon Plattform
Adobe Experience Manager (AEM)
AEM Cloud Service (CS)
Alle
Versjon 6.5.14.0 og tidligere 
Alle

Løsning

Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:

Produkt

Versjon

Plattform

Prioritet

Tilgjengelighet

Adobe Experience Manager (AEM) 
AEM Cloud Service-utgivelse 2022.10.0
Alle 3 Utgivelsesmerknader
6.5.15.0 
Alle

3

Produktmerknader for AEM 6.5 Service Pack 
Merk:

Kunder som kjører på Cloud Experience-tjenesten til Adobe Experience Manager, mottar automatisk oppdateringer som inkluderer nye funksjoner, samt sikkerhets- og funksjonalitetsfeilrettinger.  

Merk:

Kontakt Adobe customer care for assistanse med AEM-versjonene 6.4, 6.3 og 6.2.

Informasjon om sikkerhetsproblemet

Sikkerhetsproblemkategori

Sikkerhetsprobleminnvirkning

Alvorlighetsgrad

CVSS-grunnscore 

CVE-nummer 

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Kjøring av vilkårlig kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42345

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Vilkårlig kjøring av kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42346

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Kjøring av vilkårlig kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30679

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Kjøring av vilkårlig kode

Viktig

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42348

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Kjøring av vilkårlig kode

Viktig 

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42349

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Kjøring av vilkårlig kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42350

Feil tilgangskontroll (CWE-284)

Omgåelse av sikkerhetsfunksjon

Moderat

4.3

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

CVE-2022-42351

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Kjøring av vilkårlig kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42352

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Kjøring av vilkårlig kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-35693

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Kjøring av vilkårlig kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42354

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Vilkårlig kjøring av kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N

CVE-2022-35694

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Vilkårlig kjøring av kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42356

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Vilkårlig kjøring av kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42357

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Vilkårlig kjøring av kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-35695

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Kjøring av vilkårlig kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N

CVE-2022-35696

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Kjøring av vilkårlig kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42360

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Kjøring av vilkårlig kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42362

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Vilkårlig kjøring av kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42364

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Kjøring av vilkårlig kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42365

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Kjøring av vilkårlig kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N

CVE-2022-42366

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Vilkårlig kjøring av kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42367

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Kjøring av vilkårlig kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44462

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Kjøring av vilkårlig kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44463

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Kjøring av vilkårlig kode

Viktig

5.4

:

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

 

CVE-2022-44465

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Kjøring av vilkårlig kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44466

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Kjøring av vilkårlig kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44467

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Kjøring av vilkårlig kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44468

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Vilkårlig kjøring av kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44469

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Kjøring av vilkårlig kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44470

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Vilkårlig kjøring av kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44471

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Vilkårlig kjøring av kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44473

Skripting på tvers av nettsteder (XSS)

(CWE-79)

Kjøring av vilkårlig kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44474

URL-omdirigering til uklarert nettsted («åpne omdirigering») (CWE-601)

Omgåelse av sikkerhetsfunksjon

Moderat

3.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

CVE-2022-44488

Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79)

Vilkårlig kjøring av kode

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44510

Oppdateringer av avhengigheter

Avhengighet
Sikkerhetsprobleminnvirkning
Berørte versjoner
xmlgraphics
Eskalering av rettigheter

AEM CS  

AEM 6.5.9.0 og tidligere

ionetty
Eskalering av rettigheter

AEM CS  

AEM 6.5.9.0 og tidligere

Bekreftelser

Adobe takker følgende for at de rapporterte disse problemene, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte våre kunder: 

 

  • Jim Green (green-jam) --CVE-2022-42345; CVE-2022-30679; CVE-2022-42348; CVE-2022-42349; CVE-2022-42350; CVE-2022-42351; CVE-2022-42352; CVE-2022-35693; CVE-2022-42354; CVE-2022-35694; CVE-2022-42356; CVE-2022-42357; CVE-2022-35695; CVE-2022-35696; CVE-2022-42360; CVE-2022-42362; CVE-2022-42364; CVE-2022-42365; CVE-2022-42366; CVE-2022-42367; CVE-2022-44462; CVE-2022-44463; CVE-2022-44465; CVE-2022-44466; CVE-2022-44467; CVE-2022-44468; CVE-2022-44469; CVE-2022-44470; CVE-2022-44471; CVE-2022-44473; CVE-2022-44474; CVE-2022-44488, CVE-2022-44510

 

Revisjoner

20. desember 2022 – Lagt til CVE-2022-44510

14. desember 2021: Oppdatert bekreftelse for CVE-2021-43762

16. desember 2021: Prioritetsnivå for bulletin korrigert til 2

29. desember 2021: Vi har oppdatert bekreftelse for CVE-2021-40722

30. september 2022: Lagt til CVE-2022-28851


Hvis du vil ha mer informasjon, kan du se https://helpx.adobe.com/no/security.html eller sende en e-post til PSIRT@adobe.com.

 Adobe

Få hjelp raskere og enklere

Ny bruker?

Adobe MAX 2024

Adobe MAX

The Creativity Conference

14.–16. oktober, Miami Beach og på nettet

Adobe MAX 2024

Adobe MAX

The Creativity Conference

14.–16. oktober, Miami Beach og på nettet