ID do boletim
Atualizações de segurança disponíveis para o Adobe Experience Manager | APSB22-59
|
Data de publicação |
Prioridade |
---|---|---|
APSB22-59 |
13 de dezembro de 2022 |
3 |
Resumo
Adobe lançou atualizações para o Adobe Experience Manager (AEM). Essas atualizações resolvem vulnerabilidades de classificação importantes e moderadas. A exploração bem-sucedida dessas vulnerabilidades pode resultar na execução arbitrária de código e em falha de recursos de segurança.
Versões do produto afetado
Produto | Versão | Plataforma |
---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Todos |
6.5.14.0 e versões anteriores |
Todos |
Solução
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:
Produto |
Versão |
Plataforma |
Prioridade |
Disponibilidade |
---|---|---|---|---|
Adobe Experience Manager (AEM) |
AEM Cloud Service versão 2022.10.0 |
Todos | 3 | Notas de versão |
6.5.15.0 |
Todos |
3 |
Notas de versão do AEM 6.5 Service Pack |
Os clientes que executam o Cloud Service da Adobe Experience Manager receberão automaticamente atualizações que incluem novos recursos, bem como correções de erros de segurança e funcionalidade.
Entre em contato com o Atendimento ao cliente da Adobe para obter assistência com as versões 6.4, 6.3 e 6.2 do AEM.
Detalhes da vulnerabilidade
Categoria da vulnerabilidade |
Impacto da vulnerabilidade |
Severidade |
Pontuação base de CVSS |
Número CVE |
|
---|---|---|---|---|---|
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrário |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42345 |
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrária |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42346 |
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrário |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-30679 |
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrário |
Importante |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42348 |
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrário |
Importante |
5.4 |
CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42349 |
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrário |
Importante |
5,4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42350 |
Controle de acesso impróprio (CWE-284) |
Falha de recurso de segurança |
Moderado |
4.3 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
CVE-2022-42351 |
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrário |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42352 |
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrário |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-35693 |
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrário |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42354 |
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrária |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N |
CVE-2022-35694 |
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrária |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42356 |
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrária |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42357 |
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrária |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-35695 |
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrário |
Importante |
5,4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N |
CVE-2022-35696 |
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrário |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42360 |
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrário |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42362 |
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrária |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42364 |
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrário |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42365 |
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrário |
Importante |
5,4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N |
CVE-2022-42366 |
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrária |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-42367 |
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrário |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44462 |
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrário |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44463 |
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrário |
Importante |
5,4 |
: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
|
CVE-2022-44465 |
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrário |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44466 |
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrário |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44467 |
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrário |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44468 |
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrária |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44469 |
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrário |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44470 |
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrária |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44471 |
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrária |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44473 |
Criação d script entre sites (XSS) (CWE-79) |
Execução de código arbitrário |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44474 |
Redirecionamento de URL para site não confiável ('Open Redirect') (CWE-601) |
Falha de recurso de segurança |
Moderado |
3,5 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N |
CVE-2022-44488 |
Criação de script entre sites (XSS Refletido) (CWE-79) |
Execução de código arbitrária |
Importante |
5.4 |
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2022-44510 |
Atualizações das dependências
Dependência |
Impacto da vulnerabilidade |
Versões afetadas |
xmlgraphics |
Escalonamento de privilégio | AEM CS AEM 6.5.9.0 e anteriores |
ionetty |
Escalonamento de privilégio | AEM CS AEM 6.5.9.0 e anteriores |
Agradecimentos
A Adobe gostaria de agradecer aos seguintes profissionais por terem relatado esses problemas e trabalhado com a Adobe para ajudar a proteger nossos clientes:
- Jim Green (green-jam) --CVE-2022-42345; CVE-2022-30679; CVE-2022-42348; CVE-2022-42349; CVE-2022-42350; CVE-2022-42351; CVE-2022-42352; CVE-2022-35693; CVE-2022-42354; CVE-2022-35694; CVE-2022-42356; CVE-2022-42357; CVE-2022-35695; CVE-2022-35696; CVE-2022-42360; CVE-2022-42362; CVE-2022-42364; CVE-2022-42365; CVE-2022-42366; CVE-2022-42367; CVE-2022-44462; CVE-2022-44463; CVE-2022-44465; CVE-2022-44466; CVE-2022-44467; CVE-2022-44468; CVE-2022-44469; CVE-2022-44470; CVE-2022-44471; CVE-2022-44473; CVE-2022-44474; CVE-2022-44488, CVE-2022-44510
Revisões
14 de dezembro de 2021: confirmação atualizada para CVE-2021-43762
16 de dezembro de 2021: correção do nível de prioridade do boletim para 2
29 de dezembro de 2021: Reconhecimento atualizado para CVE-2021-40722
30 de setembro de 2022: CVE-2022-28851 adicionado
Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.