ID biuletynu
Ostatnia aktualizacja
21 wrz 2023
Dostępne aktualizacje zabezpieczeń dla programu Adobe Experience Manager | APSB23-43
|
|
Data publikacji |
Priorytet |
|---|---|---|
|
APSB23-43 |
12 września 2023 r. |
3 |
Podsumowanie
Firma Adobe opublikowała aktualizacje dla programu Adobe Experience Manager (AEM). Te aktualizacje usuwają luki ocenione jako istotne. Wykorzystanie tych luk mogło skutkować wykonywaniem dowolnego kodu.
Wersje produktu, których dotyczy problem
| Produkt | Wersja | Platforma |
|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Wszystkie |
| 6.5.17.0 i starsze wersje |
Wszystkie |
Rozwiązanie
Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji:
Produkt |
Wersja |
Platforma |
Priorytet |
Dostępność |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service, wydanie 2023.8 |
Wszystkie | 3 | Uwagi na temat wersji |
| 6.5.18.0 |
Wszystkie |
3 |
AEM 6.5 Service Pack — informacje o wersji |
Uwaga:
Klienci korzystający z usługi Adobe Experience Manager Cloud Service będą automatycznie otrzymywać aktualizacje zawierające nowe funkcje oraz poprawki błędów zabezpieczeń i funkcji.
Uwaga:
Względy bezpieczeństwa użytkowników programu Experience Manager:
Względy bezpieczeństwa dotyczące usługi AEM as a Cloud Service
Anonimowy pakiet wzmacniania zezwoleń
Uwaga:
Pomoc dotyczącą wersji 6.4, 6.3 i 6.2 programu AEM można uzyskać w dziale Obsługi klienta firmy Adobe.
Informacje o luce w zabezpieczeniach
|
Kategoria luki w zabezpieczeniach |
Wpływ luki w zabezpieczeniach |
Istotność |
Podstawowy wynik CVSS |
Numer CVE |
|
|---|---|---|---|---|---|
|
Tworzenie skryptów międzywitrynowych (Reflected XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-38214 |
|
Tworzenie skryptów międzywitrynowych (Reflected XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2023-38215 |
Uwaga:
Jeśli klient korzysta z programu Apache httpd na serwerze proxy z konfiguracją inną niż domyślna, może go obejmować błąd CVE-2023-25690 — więcej informacji można znaleźć tutaj: https://httpd.apache.org/security/vulnerabilities_24.html
Podziękowania
Firma Adobe składa podziękowania niżej wymienionym za zgłoszenie tych luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:
- Jim Green (green-jam) -- CVE-2023-38214, CVE-2023-38215
UWAGA: Firma Adobe prowadzi z firmą HackerOne prywatny, dostępny tylko za zaproszeniem program nagród za wykryte błędy. Jeśli interesuje Cię współpraca z firmą Adobe w roli zewnętrznego analityka bezpieczeństwa, wypełnij ten formularz, by uzyskać dalsze informacje.
Aby uzyskać więcej informacji, odwiedź https://helpx.adobe.com/pl/security.html lub wyślij wiadomość e-mail na adres PSIRT@adobe.com.
