Bulletin-ID
Sist oppdatert
25. sep. 2023
Sikkerhetsoppdateringer tilgjengelig for Adobe Experience Manager | APSB23-31
|
|
Publiseringsdato |
Prioritet |
|---|---|---|
|
APSB23-31 |
13. juni 2023 |
3 |
Sammendrag
Adobe har lansert oppdateringer for Adobe Experience Manager (AEM). Disse oppdateringene løser sikkerhetsproblemer klassifisert som viktig og moderat i Adobe Experience Manager, inkludert tredjeparts avhengigheter. Vellykket utnyttelse av disse sikkerhetsproblemene kan føre til kjøring av vilkårlig kode, tjenestenekt og omgåelse av sikkerhetsfunksjoner.
Berørte produktversjoner
| Produkt | Versjon | Plattform |
|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle |
| 6.5.16.0 og tidligere versjoner |
Alle |
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:
Produkt |
Versjon |
Plattform |
Prioritet |
Tilgjengelighet |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service-utgivelse 2023.4 |
Alle | 3 | Utgivelsesmerknader |
| 6.5.17.0 | Alle |
3 |
Produktmerknader for AEM 6.5 Service Pack |
Merk:
Kunder som kjører på Cloud Experience-tjenesten til Adobe Experience Manager, mottar automatisk oppdateringer som inkluderer nye funksjoner, samt sikkerhets- og funksjonalitetsfeilrettinger.
Merk:
Sikkerhetshensyn i Experience Manager:
Sikkerhetshensyn for AEM as a Cloud Service
Anonym tilgangsforsterkende pakke
Merk:
Kontakt Adobes kundestøtte for assistanse med AEM-versjonene 6.4, 6.3 og 6.2.
Informasjon om sikkerhetsproblemet
|
Sikkerhetsproblemkategori |
Sikkerhetsprobleminnvirkning |
Alvorlighetsgrad |
CVSS-grunnscore |
CVE-nummer |
|
|---|---|---|---|---|---|
|
Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-29304 |
|
URL-omdirigering til uklarert nettsted («åpne omdirigering») (CWE-601) |
Omgåelse av sikkerhetsfunksjon |
Moderat |
3.5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:N/A:N |
CVE-2023-29307 |
|
Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-29322 |
|
Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-29302 |
Oppdateringer av avhengigheter
| CVE | Avhengighet |
Sikkerhetsprobleminnvirkning |
Berørte versjoner |
| CVE-2023-26513 |
Apache Sling |
Tjenestenekt (DoS, Denial of Service) |
AEM CS AEM 6.5.16.0 og tidligere |
| CVE-2022-26336 |
Apache POI |
Tjenestenekt (DoS, Denial of Service) |
AEM CS AEM 6.5.16.0 og tidligere |
Merk:
Hvis kunder bruker Apache httpd i en proxy med en ikke-standard konfigurasjon, kan de bli påvirket av CVE-2023-25690 – les mer her: https://httpd.apache.org/security/vulnerabilities_24.html
Bekreftelser
Adobe takker følgende for at de rapporterte disse problemene, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte våre kunder:
- Jim Green (green-jam) -- CVE-2023-29304, CVE-2023-29302
- Osama Yousef (osamayousef) -- CVE-2023-29307
- Lorenzo Pirondini -- CVE-2023-29322
MERK: Adobe har et privat, valgfritt bug-bounty-program med HackerOne. Hvis du er interessert i å jobbe med Adobe som en ekstern sikkerhetsforsker, vennligst fyll ut dette skjemaet for å gå videre.
Revisjoner
19. september 2023 – oppdatering av avhengigheter
11. juli 2023 – Oppdateringer av avhengigheter revidert.
15. juni 2023 – forsker «lpi» endret til «Lorenzo Pirondini».
Hvis du vil ha mer informasjon, kan du se https://helpx.adobe.com/no/security.html eller sende en e-post til PSIRT@adobe.com.
