ID biuletynu
Ostatnia aktualizacja
30 sie 2024
Dostępne aktualizacje zabezpieczeń programu Adobe Experience Manager | APSB24-05
|
|
Data publikacji |
Priorytet |
|---|---|---|
|
APSB24-05 |
12 marca 2024 |
3 |
Podsumowanie
Firma Adobe opublikowała aktualizacje dla programu Adobe Experience Manager (AEM). Te aktualizacje usuwają luki w zabezpieczeniach ocenione jako istotne i umiarkowanie ważne. Udane wykorzystanie tych luk może doprowadzić do wykonania dowolnego kodu i obejścia zabezpieczeń.
Wersje produktu, których dotyczy problem
| Produkt | Wersja | Platforma |
|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Wszystkie |
| 6.5.19.0 i starsze wersje |
Wszystkie |
Rozwiązanie
Firma Adobe dzieli te aktualizacje na kategorie, nadając im następujące oceny ważności, oraz zaleca użytkownikom zaktualizowanie zainstalowanego oprogramowania do najnowszej wersji:
Produkt |
Wersja |
Platforma |
Priorytet |
Dostępność |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service, wydanie 2024.03 |
Wszystkie | 3 | Uwagi na temat wersji |
| 6.5.20.0 | Wszystkie |
3 |
AEM 6.5 Service Pack — informacje o wersji |
Uwaga:
Klienci korzystający z usługi Adobe Experience Manager Cloud Service będą automatycznie otrzymywać aktualizacje zawierające nowe funkcje oraz poprawki błędów zabezpieczeń i funkcji.
Uwaga:
Względy bezpieczeństwa użytkowników programu Experience Manager:
Względy bezpieczeństwa dotyczące usługi AEM as a Cloud Service
Anonimowy pakiet wzmacniania zezwoleń
Uwaga:
Pomoc dotyczącą wersji 6.4, 6.3 i 6.2 programu AEM można uzyskać w dziale Obsługi klienta firmy Adobe.
Informacje o luce w zabezpieczeniach
| Kategoria luki w zabezpieczeniach |
Wpływ luki w zabezpieczeniach |
Istotność |
Podstawowy wynik CVSS |
Wektor CVSS |
Numer CVE |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26028 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26030 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26031 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26032 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26033 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26034 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26035 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26038 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26040 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26041 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26042 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26043 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26044 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26045 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 4,5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N | CVE-2024-26050 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26052 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26056 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26059 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26061 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26062 |
| Ujawnienie informacji (CWE-200) | Obejście funkcji bezpieczeństwa | Istotna | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CVE-2024-26063 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26064 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26065 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26067 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26069 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26073 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26080 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26094 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26096 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26102 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26103 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26104 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26105 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26106 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26107 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26118 |
| Niewłaściwa kontrola dostępu (CWE-284) | Obejście funkcji bezpieczeństwa | Istotna | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CVE-2024-26119 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26120 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26124 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26125 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-20760 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-20768 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna |
5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-20799 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna |
5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-20800 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna |
5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26101 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna |
5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-41877 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu |
Istotna |
5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-41878 |
| Tworzenie skryptów między witrynami (zapisane XSS) (CWE-79) |
Wykonanie dowolnego kodu | Umiarkowana | 3.4 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:N/A:N | CVE-2024-26051 |
Uwaga:
Jeśli klient korzysta z programu Apache httpd na serwerze proxy z konfiguracją inną niż domyślna, może go obejmować błąd CVE-2023-25690 — więcej informacji można znaleźć tutaj: https://httpd.apache.org/security/vulnerabilities_24.html
Podziękowania
Firma Adobe składa podziękowania niżej wymienionym za zgłoszenie tych luk w zabezpieczeniach oraz za współpracę z firmą Adobe w celu ochrony naszych klientów:
- Lorenzo Pirondini -- CVE-2024-26028, CVE-2024-26032, CVE-2024-26033, CVE-2024-26034, CVE-2024-26035, CVE-2024-26038, CVE-2024-26040, CVE-2024-26041, CVE-2024-26042, CVE-2024-26043, CVE-2024-26044, CVE-2024-26045, CVE-2024-26052, CVE-2024-26059, CVE-2024-26064, CVE-2024-26065, CVE-2024-26073, CVE-2024-26080, CVE-2024-26124, CVE-2024-26125, CVE-2024-20768, CVE-2024-20800
- Jim Green (green-jam) — CVE-2024-26030, CVE-2024-26031, CVE-2024-26056, CVE-2024-26061, CVE-2024-26062, CVE-2024-26067, CVE-2024-26069, CVE-2024-26094, CVE-2024-26096, CVE-2024-26101, CVE-2024-26102, CVE-2024-26103, CVE-2024-26104, CVE-2024-26105, CVE-2024-26106, CVE-2024-26107, CVE-2024-26118, CVE-2024-26119, CVE-2024-26120, CVE-2024-20760, CVE-2024-20799, CVE-2024-41877, CVE-2024-41878
- Akshay Sharma (anonymous_blackzero) -- CVE-2024-26050, CVE-2024-26051
UWAGA: Firma Adobe prowadzi z firmą HackerOne prywatny, dostępny tylko za zaproszeniem program nagród za wykryte błędy. Jeśli interesuje Cię współpraca z firmą Adobe w roli zewnętrznego analityka bezpieczeństwa, wypełnij ten formularz, by uzyskać dalsze informacje.
Wersje
21 sierpnia 2024 r. — dodano CVE-2024-41877 i CVE-2024-41878
20 czerwca 2024 r. — dodano CVE-2024-26101
12 czerwca 2024 r. — Usunięto informacje CVE dotyczące CVE-2024-26126 i CVE-2024-26127
3 kwietnia 2024 r. — dodano CVE-2024-20800
1 kwietnia 2024 r. — dodano CVE-2024-20799
18 marca 2024 r. — Usunięto lukę CVE-2024-26048
Aby uzyskać więcej informacji, odwiedź https://helpx.adobe.com/pl/security.html lub wyślij wiadomość e-mail na adres PSIRT@adobe.com.
