Biuletyn dotyczący zabezpieczeń firmy Adobe

Dostępne aktualizacje zabezpieczeń dla programu Adobe Experience Manager | APSB22-40

ID biuletynu

Data publikacji

Priorytet

APSB22-40

13 września 2022 r. 

3

Podsumowanie

Firma Adobe opublikowała aktualizacje dla programu Adobe Experience Manager (AEM). Te aktualizacje usuwają luki ocenione jako istotne.  Udane wykorzystanie tych luk może doprowadzić do wykonania dowolnego kodu i obejścia zabezpieczeń.

Wersje produktu, których dotyczy problem

Produkt Wersja Platforma
Adobe Experience Manager (AEM)
AEM Cloud Service (CS)
Wszystkie
6.5.13.0 i starsze wersje 
Wszystkie

Rozwiązanie

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji:

Produkt

Wersja

Platforma

Priorytet

Dostępność

Adobe Experience Manager (AEM) 
AEM Cloud Service (CS)
Wszystkie 3 Uwagi na temat wersji
6.5.14.0 
Wszystkie

3

AEM 6.5 Service Pack — informacje o wersji 
Uwaga:

Klienci korzystający z usługi Adobe Experience Manager Cloud Service będą automatycznie otrzymywać aktualizacje zawierające nowe funkcje oraz poprawki błędów zabezpieczeń i funkcji.

Uwaga:

Pomoc dotyczącą wersji 6.4, 6.3 i 6.2 programu AEM można uzyskać w dziale Obsługi klienta firmy Adobe.

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach

Wpływ luki w zabezpieczeniach

Istotność

Podstawowy wynik CVSS 

Numer CVE 

Skrypty międzywitrynowe (XSS)

(CWE-79)

Wykonanie dowolnego kodu

Ważna

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30677

Skrypty międzywitrynowe (XSS)

(CWE-79)

Wykonanie dowolnego kodu

Ważna

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30678

Skrypty międzywitrynowe (XSS)

(CWE-79)

Wykonanie dowolnego kodu

Istotna

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30680

Tworzenie skryptów międzywitrynowych (zapisane XSS) (CWE-79)

Wykonanie dowolnego kodu

Istotna

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30681

Tworzenie skryptów międzywitrynowych (zapisane XSS) (CWE-79)

Wykonanie dowolnego kodu

Istotna

6.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

CVE-2022-30682

Naruszenie zasad bezpiecznego projektowania (CWE-657)

Obejście funkcji bezpieczeństwa

Istotna

5.3

CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N

CVE-2022-30683

Tworzenie skryptów międzywitrynowych (Reflected XSS) (CWE-79)

Wykonanie dowolnego kodu

Istotna

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30684

Tworzenie skryptów międzywitrynowych (Reflected XSS) (CWE-79)

Wykonanie dowolnego kodu

Istotna

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30685

Tworzenie skryptów międzywitrynowych (Reflected XSS) (CWE-79)

Wykonanie dowolnego kodu

Istotna

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30686

Tworzenie skryptów międzywitrynowych (Reflected XSS) (CWE-79)

Wykonanie dowolnego kodu

Istotna

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-35664

Tworzenie skryptów międzywitrynowych (Reflected XSS) (CWE-79)

Wykonanie dowolnego kodu

Istotna

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-34218

Tworzenie skryptów międzywitrynowych (Reflected XSS) (CWE-79)

Wykonanie dowolnego kodu

Istotna

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-38438

Tworzenie skryptów międzywitrynowych (Reflected XSS) (CWE-79)

Wykonanie dowolnego kodu

Istotna

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-38439

Aktualizacje zależności

Zależność
Wpływ luki w zabezpieczeniach
Zagrożone wersje
xmlgraphics
Eskalacja uprawnień

AEM CS  

AEM 6.5.9.0 i wcześniejsze wersje 

ionetty
Eskalacja uprawnień

AEM CS  

AEM 6.5.9.0 i wcześniejsze wersje 

Podziękowania

Firma Adobe składa podziękowania niżej wymienionym za zgłoszenie tych luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:

  • Jim Green (green-jam) --CVE-2022-30677, CVE-2022-30678, CVE-2022-30680, CVE-2022-30681, CVE-2022-30682, CVE-2022-30683, CVE-2022-30684, CVE-2022-30685, CVE-2022-30686, CVE-2022-35664,  CVE-2022-34218, CVE-2022-38438, CVE-2022-38439

Wersje

21 września 2022 r. – dodano informacje CVE dotyczące luk w zabezpieczeniach CVE-2022-38438 oraz CVE-2022-38439

14 grudnia 2021: Aktualizowano podziękowanie za CVE-2021-43762

16 grudnia 2021: Poprawiono poziom priorytetu biuletynu na 2

29 grudnia 2021 r.: zaktualizowano podziękowanie dotyczące problemu CVE-2021-40722


Aby uzyskać więcej informacji, odwiedź https://helpx.adobe.com/pl/security.html lub wyślij wiadomość e-mail na adres PSIRT@adobe.com.

Adobe

Pomoc dostępna szybciej i łatwiej

Nowy użytkownik?