Bulletin-ID
Sist oppdatert
18. apr. 2024
Sikkerhetsoppdateringer tilgjengelig for Adobe Experience Manager | APSB24-21
|
|
Publiseringsdato |
Prioritet |
|---|---|---|
|
APSB24-21 |
9. april 2024 |
3 |
Sammendrag
Adobe har lansert oppdateringer for Adobe Experience Manager (AEM). Disse oppdateringene løser sikkerhetsproblemer klassifisert som viktige. Vellykket utnyttelse av disse sikkerhetsproblemene kan føre til kjøring av vilkårlig kode og omgåelse av sikkerhetsfunksjoner.
Berørte produktversjoner
| Produkt | Versjon | Plattform |
|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Alle |
| 6.5.19 og tidligere versjoner |
Alle |
Løsning
Adobe kategoriserer disse oppdateringene med følgende prioritetsklassifiseringer og anbefaler at brukerne oppdaterer installasjonen til den nyeste versjonen:
Produkt |
Versjon |
Plattform |
Prioritet |
Tilgjengelighet |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service-utgivelse 2024.03 |
Alle | 3 | Utgivelsesmerknader |
| 6.5.20 | Alle |
3 |
Produktmerknader for AEM 6.5 Service Pack |
Merk:
Kunder som kjører på Cloud Experience-tjenesten til Adobe Experience Manager, mottar automatisk oppdateringer som inkluderer nye funksjoner, samt sikkerhets- og funksjonalitetsfeilrettinger.
Merk:
Sikkerhetshensyn i Experience Manager:
Sikkerhetshensyn for AEM as a Cloud Service
Anonym tilgangsforsterkende pakke
Merk:
Kontakt Adobes kundestøtte for assistanse med AEM-versjonene 6.4, 6.3 og 6.2.
Informasjon om sikkerhetsproblemet
| Sikkerhetsproblemkategori |
Sikkerhetsprobleminnvirkning |
Alvorlighetsgrad |
CVSS-grunnscore |
CVSS-vektor |
CVE-nummer |
| Skripting på tvers av nettsteder (lagret XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26046 |
| Skripting på tvers av nettsteder (lagret XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26047 |
| Informasjonseksponering (CWE-200) | Omgåelse av sikkerhetsfunksjon | Viktig | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CVE-2024-26076 |
| Skripting på tvers av nettsteder (lagret XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26079 |
| Skripting på tvers av nettsteder (lagret XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26084 |
| Skripting på tvers av nettsteder (lagret XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26087 |
| Skripting på tvers av nettsteder (lagret XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26097 |
| Skripting på tvers av nettsteder (lagret XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26098 |
| Skripting på tvers av nettsteder (lagret XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26122 |
| Skripting på tvers av nettsteder (lagret XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-20778 |
| Skripting på tvers av nettsteder (lagret XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-20779 |
| Skripting på tvers av nettsteder (lagret XSS) (CWE-79) |
Kjøring av vilkårlig kode |
Viktig | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-20780 |
Merk:
Hvis kunder bruker Apache httpd i en proxy med en ikke-standard konfigurasjon, kan de bli påvirket av CVE-2023-25690 – les mer her: https://httpd.apache.org/security/vulnerabilities_24.html
Bekreftelser
Adobe takker følgende for at de rapporterte disse problemene, og for at de samarbeider med Adobe for å hjelpe oss med å beskytte våre kunder:
- Lorenzo Pirondini -- CVE-2024-26047, CVE-2024-26076, CVE-2024-26079, CVE-2024-26084,
- Jim Green (green-jam) -- CVE-2024-26087, CVE-2024-26097, CVE-2024-26098, CVE-2024-26122, CVE-2024-20778 CVE-2024-20779 CVE-2024-20780
- Akshay Sharma (anonymous_blackzero) -- CVE-2024-26046
MERK: Adobe har et privat, valgfritt bug-bounty-program med HackerOne. Hvis du er interessert i å jobbe med Adobe som en ekstern sikkerhetsforsker, vennligst fyll ut dette skjemaet for å gå videre.
Du finner mer informasjon under https://helpx.adobe.com/no/security.html, eller send en e-post til PSIRT@adobe.com.
