Bulletin-ID
Sist oppdatert
28. mar. 2023
Sikkerhetsoppdateringer tilgjengelig for Adobe Experience Manager | APSB23-18
|
|
Publiseringsdato |
Prioritet |
|---|---|---|
|
APSB23-18 |
14. mars 2023 |
3 |
Sammendrag
Adobe har lansert oppdateringer for Adobe Experience Manager (AEM). Disse oppdateringene løser sikkerhetsproblemer klassifisert som Viktig og Moderat. Vellykket utnyttelse av disse sikkerhetsproblemene kan føre til kjøring av vilkårlig kode, eskalering av rettigheter og omgåelse av sikkerhetsfunksjoner.
Berørte produktversjoner
| Produkt | Versjon | Plattform |
|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle |
| Versjon 6.5.15.0 og tidligere |
Alle |
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:
Produkt |
Versjon |
Plattform |
Prioritet |
Tilgjengelighet |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service-utgivelse 2023.1 |
Alle | 3 | Utgivelsesmerknader |
| 6.5.16.0 |
Alle |
3 |
Produktmerknader for AEM 6.5 Service Pack |
Merk:
Kunder som kjører på Cloud Experience-tjenesten til Adobe Experience Manager, mottar automatisk oppdateringer som inkluderer nye funksjoner, samt sikkerhets- og funksjonalitetsfeilrettinger.
Merk:
Kontakt Adobe customer care for assistanse med AEM-versjonene 6.4, 6.3 og 6.2.
Informasjon om sikkerhetsproblemet
|
Sikkerhetsproblemkategori |
Sikkerhetsprobleminnvirkning |
Alvorlighetsgrad |
CVSS-grunnscore |
CVE-nummer |
|
|---|---|---|---|---|---|
|
Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79) |
Vilkårlig kjøring av kode |
Viktig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-22252 |
|
Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79) |
Vilkårlig kjøring av kode |
Viktig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-22253 |
|
Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-22254 |
|
URL-omdirigering til uklarert nettsted («åpne omdirigering») (CWE-601) |
Omgåelse av sikkerhetsfunksjon |
Moderat |
3.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-22256 |
|
URL-omdirigering til uklarert nettsted («åpne omdirigering») (CWE-601) |
Omgåelse av sikkerhetsfunksjon |
Moderat |
3.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-22257 |
|
URL-omdirigering til uklarert nettsted («åpne omdirigering») (CWE-601) |
Omgåelse av sikkerhetsfunksjon |
Moderat |
3.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-22258 |
|
URL-omdirigering til uklarert nettsted («åpne omdirigering») (CWE-601) |
Omgåelse av sikkerhetsfunksjon |
Moderat |
3.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-22259 |
|
URL-omdirigering til uklarert nettsted («åpne omdirigering») (CWE-601) |
Omgåelse av sikkerhetsfunksjon |
Moderat |
3.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-22260 |
|
URL-omdirigering til uklarert nettsted («åpne omdirigering») (CWE-601) |
Omgåelse av sikkerhetsfunksjon |
Moderat |
3.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-22261 |
|
URL-omdirigering til uklarert nettsted («åpne omdirigering») (CWE-601) |
Omgåelse av sikkerhetsfunksjon |
Moderat |
3.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-22262 |
|
URL-omdirigering til uklarert nettsted («åpne omdirigering») (CWE-601) |
Omgåelse av sikkerhetsfunksjon |
Moderat |
3.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-22263 |
|
URL-omdirigering til uklarert nettsted («åpne omdirigering») (CWE-601) |
Omgåelse av sikkerhetsfunksjon |
Moderat |
3.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-22264 |
|
URL-omdirigering til uklarert nettsted («åpne omdirigering») (CWE-601) |
Omgåelse av sikkerhetsfunksjon |
Moderat |
3.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-22265 |
|
URL-omdirigering til uklarert nettsted («åpne omdirigering») (CWE-601) |
Omgåelse av sikkerhetsfunksjon |
Moderat |
3.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2023-22266 |
|
Skripting på tvers av nettsteder (lagret XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-22269 |
|
Svak kryptografi for passord (CWE-261) |
Eskalering av rettigheter |
Viktig |
5.3 |
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N |
CVE-2023-22271 |
|
Skripting på tvers av nettsteder (lagret XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-21615 |
|
Skripting på tvers av nettsteder (lagret XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-21616 |
Merk:
Hvis kunder bruker Apache httpd i en proxy med en ikke-standard konfigurasjon, kan de bli påvirket av CVE-2023-25690 – les mer her: https://httpd.apache.org/security/vulnerabilities_24.html
Merk:
Hvis kunder bruker Apache httpd i en proxy med en ikke-standard konfigurasjon, kan de bli påvirket av CVE-2023-25690 – les mer her: https://httpd.apache.org/security/vulnerabilities_24.html
Bekreftelser
Adobe takker følgende for at de rapporterte disse problemene, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte våre kunder:
- Jim Green (green-jam) – CVE-2023-22252, CVE-2023-22253, CVE-2023-22254, CVE-2023-22256, CVE-2023-22257, CVE-2023-22258, CVE-2023-22259, CVE-2023-22260, CVE-2023-22261, CVE-2023-22262, CVE-2023-22263, CVE-2023-22264, CVE-2023-22265, CVE-2023-22266, CVE-2023-22269, CVE-2023-22271, CVE-2023-21615, CVE-2023-21616
Hvis du vil ha mer informasjon, kan du se https://helpx.adobe.com/no/security.html eller sende en e-post til PSIRT@adobe.com.
