Boletim de segurança da Adobe

Atualizações de segurança disponíveis para o Adobe Experience Manager | APSB22-59

ID do boletim

Data de publicação

Prioridade

APSB22-59

13 de dezembro de 2022 

3

Resumo

Adobe lançou atualizações para o Adobe Experience Manager (AEM). Essas atualizações resolvem vulnerabilidades de classificação importantes e moderadas.   A exploração bem-sucedida dessas vulnerabilidades pode resultar na execução arbitrária de código e em falha de recursos de segurança. 

Versões do produto afetado

Produto Versão Plataforma
Adobe Experience Manager (AEM)
AEM Cloud Service (CS)
Todos
6.5.14.0 e versões anteriores 
Todos

Solução

A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:

Produto

Versão

Plataforma

Prioridade

Disponibilidade

Adobe Experience Manager (AEM) 
AEM Cloud Service versão 2022.10.0
Todos 3 Notas de versão
6.5.15.0 
Todos

3

Notas de versão do AEM 6.5 Service Pack 
Observação:

Os clientes que executam o Cloud Service da Adobe Experience Manager receberão automaticamente atualizações que incluem novos recursos, bem como correções de erros de segurança e funcionalidade.  

Observação:

Entre em contato com o Atendimento ao cliente da Adobe para obter assistência com as versões 6.4, 6.3 e 6.2 do AEM.

Detalhes da vulnerabilidade

Categoria da vulnerabilidade

Impacto da vulnerabilidade

Severidade

Pontuação base de CVSS 

Número CVE 

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrário

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42345

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrária

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42346

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrário

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30679

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrário

Importante

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42348

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrário

Importante 

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42349

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrário

Importante

5,4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42350

Controle de acesso impróprio (CWE-284)

Falha de recurso de segurança

Moderado

4.3

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

CVE-2022-42351

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrário

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42352

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrário

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-35693

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrário

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42354

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrária

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N

CVE-2022-35694

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrária

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42356

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrária

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42357

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrária

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-35695

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrário

Importante

5,4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N

CVE-2022-35696

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrário

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42360

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrário

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42362

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrária

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42364

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrário

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42365

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrário

Importante

5,4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N

CVE-2022-42366

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrária

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-42367

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrário

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44462

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrário

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44463

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrário

Importante

5,4

:

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

 

CVE-2022-44465

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrário

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44466

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrário

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44467

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrário

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44468

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrária

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44469

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrário

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44470

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrária

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44471

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrária

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44473

Criação d script entre sites (XSS)

(CWE-79)

Execução de código arbitrário

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44474

Redirecionamento de URL para site não confiável ('Open Redirect') (CWE-601)

Falha de recurso de segurança

Moderado

3,5

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

CVE-2022-44488

Criação de script entre sites (XSS Refletido) (CWE-79)

Execução de código arbitrária

Importante

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-44510

Atualizações das dependências

Dependência
Impacto da vulnerabilidade
Versões afetadas
xmlgraphics
Escalonamento de privilégio

AEM CS  

AEM 6.5.9.0 e anteriores 

ionetty
Escalonamento de privilégio

AEM CS  

AEM 6.5.9.0 e anteriores 

Agradecimentos

A Adobe gostaria de agradecer aos seguintes profissionais por terem relatado esses problemas e trabalhado com a Adobe para ajudar a proteger nossos clientes: 

 

  • Jim Green (green-jam) --CVE-2022-42345; CVE-2022-30679; CVE-2022-42348; CVE-2022-42349; CVE-2022-42350; CVE-2022-42351; CVE-2022-42352; CVE-2022-35693; CVE-2022-42354; CVE-2022-35694; CVE-2022-42356; CVE-2022-42357; CVE-2022-35695; CVE-2022-35696; CVE-2022-42360; CVE-2022-42362; CVE-2022-42364; CVE-2022-42365; CVE-2022-42366; CVE-2022-42367; CVE-2022-44462; CVE-2022-44463; CVE-2022-44465; CVE-2022-44466; CVE-2022-44467; CVE-2022-44468; CVE-2022-44469; CVE-2022-44470; CVE-2022-44471; CVE-2022-44473; CVE-2022-44474; CVE-2022-44488, CVE-2022-44510

 

Revisões

20 de dezembro de 2022 - Adicionado CVE-2022-44510

14 de dezembro de 2021: confirmação atualizada para CVE-2021-43762

16 de dezembro de 2021: correção do nível de prioridade do boletim para 2

29 de dezembro de 2021: Reconhecimento atualizado para CVE-2021-40722

30 de setembro de 2022: CVE-2022-28851 adicionado


Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.

 Adobe

Receba ajuda com mais rapidez e facilidade

Novo usuário?

Adobe MAX 2024

Adobe MAX:
a conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX

A conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX 2024

Adobe MAX:
a conferência da criatividade

14 a 16 de outubro, Miami Beach e online

Adobe MAX

A conferência da criatividade

14 a 16 de outubro, Miami Beach e online