Bulletin-ID
Sist oppdatert
21. sep. 2023
Sikkerhetsoppdateringer tilgjengelig for Adobe Experience Manager | APSB23-43
|
|
Publiseringsdato |
Prioritet |
|---|---|---|
|
APSB23-43 |
12. september 2023 |
3 |
Sammendrag
Adobe har lansert oppdateringer for Adobe Experience Manager (AEM). Disse oppdateringene løser sikkerhetsproblemer klassifisert som Viktig. Vellykket utnyttelse av disse sikkerhetsproblemene kan føre til vilkårlig kjøring av kode.
Berørte produktversjoner
| Produkt | Versjon | Plattform |
|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle |
| Versjon 6.5.17.0 og tidligere |
Alle |
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:
Produkt |
Versjon |
Plattform |
Prioritet |
Tilgjengelighet |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service-utgivelse 2023.8 |
Alle | 3 | Utgivelsesmerknader |
| 6.5.18.0 |
Alle |
3 |
Produktmerknader for AEM 6.5 Service Pack |
Merk:
Kunder som kjører på Cloud Experience-tjenesten til Adobe Experience Manager, mottar automatisk oppdateringer som inkluderer nye funksjoner, samt sikkerhets- og funksjonalitetsfeilrettinger.
Merk:
Sikkerhetshensyn i Experience Manager:
Sikkerhetshensyn for AEM as a Cloud Service
Anonym tilgangsforsterkende pakke
Merk:
Kontakt Adobes kundestøtte for assistanse med AEM-versjonene 6.4, 6.3 og 6.2.
Informasjon om sikkerhetsproblemet
|
Sikkerhetsproblemkategori |
Sikkerhetsprobleminnvirkning |
Alvorlighetsgrad |
CVSS-grunnscore |
CVE-nummer |
|
|---|---|---|---|---|---|
|
Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79) |
Vilkårlig kjøring av kode |
Viktig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-38214 |
|
Skripting på tvers av nettsteder (Reflektert XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-38215 |
Merk:
Hvis kunder bruker Apache httpd i en proxy med en ikke-standard konfigurasjon, kan de bli påvirket av CVE-2023-25690 – les mer her: https://httpd.apache.org/security/vulnerabilities_24.html
Bekreftelser
Adobe takker følgende for at de rapporterte disse problemene, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte våre kunder:
- Jim Green (green-jam) -- CVE-2023-38214, CVE-2023-38215
MERK: Adobe har et privat, valgfritt bug-bounty-program med HackerOne. Hvis du er interessert i å jobbe med Adobe som en ekstern sikkerhetsforsker, vennligst fyll ut dette skjemaet for å gå videre.
Hvis du vil ha mer informasjon, kan du se https://helpx.adobe.com/no/security.html eller sende en e-post til PSIRT@adobe.com.
