Biuletyn dotyczący zabezpieczeń firmy Adobe

Szukaj

Ostatnia aktualizacja 30 gru 2022

Dostępne aktualizacje zabezpieczeń dla programu Adobe Experience Manager | APSB22-59

ID biuletynu	Data publikacji	Priorytet
APSB22-59	13 grudnia 2022 r.	3

Podsumowanie

Firma Adobe opublikowała aktualizacje dla programu Adobe Experience Manager (AEM). Te aktualizacje usuwają luki w zabezpieczeniach ocenione jako istotne i umiarkowane.  Udane wykorzystanie tych luk może doprowadzić do wykonania dowolnego kodu i obejścia zabezpieczeń.

Wersje produktu, których dotyczy problem

Produkt	Wersja	Platforma
Adobe Experience Manager (AEM)	AEM Cloud Service (CS)	Wszystkie
Adobe Experience Manager (AEM)	6.5.14.0 i starsze wersje	Wszystkie

Rozwiązanie

Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji:

Produkt	Wersja	Platforma	Priorytet	Dostępność
Adobe Experience Manager (AEM)	AEM Cloud Service, wydanie 2022.10.0	Wszystkie	3	Uwagi na temat wersji
Adobe Experience Manager (AEM)	6.5.15.0	Wszystkie	3	AEM 6.5 Service Pack — informacje o wersji

Uwaga:

Klienci korzystający z usługi Adobe Experience Manager Cloud Service będą automatycznie otrzymywać aktualizacje zawierające nowe funkcje oraz poprawki błędów zabezpieczeń i funkcji.

Uwaga:

Pomoc dotyczącą wersji 6.4, 6.3 i 6.2 programu AEM można uzyskać w dziale Obsługi klienta firmy Adobe.

Informacje o luce w zabezpieczeniach

Kategoria luki w zabezpieczeniach	Wpływ luki w zabezpieczeniach	Istotność	Podstawowy wynik CVSS	Wektor CVSS	Numer CVE
Skrypty międzywitrynowe (XSS) (CWE-79)	Wykonanie dowolnego kodu	Istotna	5.4	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	CVE-2022-42345
Skrypty międzywitrynowe (XSS) (CWE-79)	Wykonanie dowolnego kodu	Istotna	5.4	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	CVE-2022-42346
Skrypty międzywitrynowe (XSS) (CWE-79)	Wykonanie dowolnego kodu	Istotna	5.4	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	CVE-2022-30679
Skrypty międzywitrynowe (XSS) (CWE-79)	Wykonanie dowolnego kodu	Istotna	5.4	CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	CVE-2022-42348
Skrypty międzywitrynowe (XSS) (CWE-79)	Wykonanie dowolnego kodu	Istotna	5.4	CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	CVE-2022-42349
Skrypty międzywitrynowe (XSS) (CWE-79)	Wykonanie dowolnego kodu	Istotna	5.4	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	CVE-2022-42350
Niewłaściwa kontrola dostępu (CWE-284)	Obejście funkcji bezpieczeństwa	Średnia	4.3	CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N	CVE-2022-42351
Skrypty międzywitrynowe (XSS) (CWE-79)	Wykonanie dowolnego kodu	Istotna	5.4	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	CVE-2022-42352
Skrypty międzywitrynowe (XSS) (CWE-79)	Wykonanie dowolnego kodu	Istotna	5.4	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	CVE-2022-35693
Skrypty międzywitrynowe (XSS) (CWE-79)	Wykonanie dowolnego kodu	Istotna	5.4	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	CVE-2022-42354
Skrypty międzywitrynowe (XSS) (CWE-79)	Wykonanie dowolnego kodu	Istotna	5.4	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N	CVE-2022-35694
Skrypty międzywitrynowe (XSS) (CWE-79)	Wykonanie dowolnego kodu	Istotna	5.4	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	CVE-2022-42356
Skrypty międzywitrynowe (XSS) (CWE-79)	Wykonanie dowolnego kodu	Istotna	5.4	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	CVE-2022-42357
Skrypty międzywitrynowe (XSS) (CWE-79)	Wykonanie dowolnego kodu	Istotna	5.4	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	CVE-2022-35695
Skrypty międzywitrynowe (XSS) (CWE-79)	Wykonanie dowolnego kodu	Istotna	5.4	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N	CVE-2022-35696
Skrypty międzywitrynowe (XSS) (CWE-79)	Wykonanie dowolnego kodu	Istotna	5.4	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	CVE-2022-42360
Skrypty międzywitrynowe (XSS) (CWE-79)	Wykonanie dowolnego kodu	Istotna	5.4	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	CVE-2022-42362
Skrypty międzywitrynowe (XSS) (CWE-79)	Wykonanie dowolnego kodu	Istotna	5.4	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	CVE-2022-42364
Skrypty międzywitrynowe (XSS) (CWE-79)	Wykonanie dowolnego kodu	Istotna	5.4	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	CVE-2022-42365
Skrypty międzywitrynowe (XSS) (CWE-79)	Wykonanie dowolnego kodu	Istotna	5.4	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N	CVE-2022-42366
Skrypty międzywitrynowe (XSS) (CWE-79)	Wykonanie dowolnego kodu	Istotna	5.4	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	CVE-2022-42367
Skrypty międzywitrynowe (XSS) (CWE-79)	Wykonanie dowolnego kodu	Istotna	5.4	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	CVE-2022-44462
Skrypty międzywitrynowe (XSS) (CWE-79)	Wykonanie dowolnego kodu	Istotna	5.4	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	CVE-2022-44463
Skrypty międzywitrynowe (XSS) (CWE-79)	Wykonanie dowolnego kodu	Istotna	5.4	: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	CVE-2022-44465
Skrypty międzywitrynowe (XSS) (CWE-79)	Wykonanie dowolnego kodu	Istotna	5.4	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	CVE-2022-44466
Skrypty międzywitrynowe (XSS) (CWE-79)	Wykonanie dowolnego kodu	Istotna	5.4	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	CVE-2022-44467
Skrypty międzywitrynowe (XSS) (CWE-79)	Wykonanie dowolnego kodu	Istotna	5.4	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	CVE-2022-44468
Skrypty międzywitrynowe (XSS) (CWE-79)	Wykonanie dowolnego kodu	Istotna	5.4	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	CVE-2022-44469
Skrypty międzywitrynowe (XSS) (CWE-79)	Wykonanie dowolnego kodu	Istotna	5.4	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	CVE-2022-44470
Skrypty międzywitrynowe (XSS) (CWE-79)	Wykonanie dowolnego kodu	Istotna	5.4	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	CVE-2022-44471
Skrypty międzywitrynowe (XSS) (CWE-79)	Wykonanie dowolnego kodu	Istotna	5.4	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	CVE-2022-44473
Skrypty międzywitrynowe (XSS) (CWE-79)	Wykonanie dowolnego kodu	Istotna	5.4	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	CVE-2022-44474
Przekierowanie URL do niezaufanej witryny („Open Redirect”) (CWE-601)	Obejście funkcji bezpieczeństwa	Umiarkowanie ważna	3.5	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N	CVE-2022-44488
Tworzenie skryptów międzywitrynowych (Reflected XSS) (CWE-79)	Wykonanie dowolnego kodu	Istotna	5.4	CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	CVE-2022-44510

Aktualizacje zależności

Zależność

Wpływ luki w zabezpieczeniach

Zagrożone wersje

xmlgraphics

Eskalacja uprawnień

AEM CS 

AEM 6.5.9.0 i wcześniejsze wersje 

ionetty

Eskalacja uprawnień

AEM CS 

AEM 6.5.9.0 i wcześniejsze wersje 

Podziękowania

Firma Adobe składa podziękowania niżej wymienionym za zgłoszenie tych luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:

Jim Green (green-jam) --CVE-2022-42345; CVE-2022-30679; CVE-2022-42348; CVE-2022-42349; CVE-2022-42350; CVE-2022-42351; CVE-2022-42352; CVE-2022-35693; CVE-2022-42354; CVE-2022-35694; CVE-2022-42356; CVE-2022-42357; CVE-2022-35695; CVE-2022-35696; CVE-2022-42360; CVE-2022-42362; CVE-2022-42364; CVE-2022-42365; CVE-2022-42366; CVE-2022-42367; CVE-2022-44462; CVE-2022-44463; CVE-2022-44465; CVE-2022-44466; CVE-2022-44467; CVE-2022-44468; CVE-2022-44469; CVE-2022-44470; CVE-2022-44471; CVE-2022-44473; CVE-2022-44474; CVE-2022-44488, CVE-2022-44510

Wersje

20 grudnia 2022: Dodano CVE-2022-44510

14 grudnia 2021: Aktualizowano podziękowanie za CVE-2021-43762

16 grudnia 2021: Poprawiono poziom priorytetu biuletynu na 2

29 grudnia 2021 r.: zaktualizowano podziękowanie dotyczące problemu CVE-2021-40722

30 września 2022 r.: dodano CVE-2022-28851

Aby uzyskać więcej informacji, odwiedź https://helpx.adobe.com/pl/security.html lub wyślij wiadomość e-mail na adres PSIRT@adobe.com.

Pomoc dostępna szybciej i łatwiej

Nowy użytkownik?