ID do boletim
Última atualização em
30/08/2024
Atualizações de segurança disponíveis para o Adobe Experience Manager | APSB24-05
|
|
Data de publicação |
Prioridade |
|---|---|---|
|
APSB24-05 |
12 de março de 2024 |
3 |
Resumo
Adobe lançou atualizações para o Adobe Experience Manager (AEM). Essas atualizações resolvem vulnerabilidades classificadas como importante e moderada. A exploração bem-sucedida dessas vulnerabilidades pode resultar na execução arbitrária de código e em falha de recursos de segurança.
Versões do produto afetado
| Produto | Versão | Plataforma |
|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Todos |
| 6.5.19.0 e versões anteriores |
Todos |
Solução
A Adobe categoriza essas atualizações com as seguintes classificações de prioridade e recomenda que os usuários atualizem suas instalações para as versões mais recentes:
Produto |
Versão |
Plataforma |
Prioridade |
Disponibilidade |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service versão 2024.03 |
Todos | 3 | Notas de versão |
| 6.5.20.0 | Todos |
3 |
Notas de versão do AEM 6.5 Service Pack |
Observação:
Os clientes que executam o Cloud Service da Adobe Experience Manager receberão automaticamente atualizações que incluem novos recursos, bem como correções de erros de segurança e funcionalidade.
Observação:
Considerações sobre Segurança do Experience Manager:
Considerações de Segurança do AEM as a Cloud Service
Pacote de Proteção de Permissão Anônima
Observação:
Entre em contato com o Atendimento ao cliente da Adobe para obter assistência com as versões 6.4, 6.3 e 6.2 do AEM.
Detalhes da vulnerabilidade
| Categoria da vulnerabilidade |
Impacto da vulnerabilidade |
Severidade |
Pontuação base de CVSS |
Vetor CVSS |
Número CVE |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26028 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26030 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26031 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26032 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26033 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26034 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26035 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26038 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26040 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26041 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26042 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26043 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26044 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26045 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 4,5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N | CVE-2024-26050 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26052 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26056 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26059 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26061 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26062 |
| Exposição de Informações (CWE-200) | Falha de recurso de segurança | Importante | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CVE-2024-26063 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26064 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26065 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26067 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26069 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26073 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26080 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26094 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26096 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26102 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26103 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26104 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26105 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26106 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26107 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26118 |
| Controle de acesso impróprio (CWE-284) | Falha de recurso de segurança | Importante | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CVE-2024-26119 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26120 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26124 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26125 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-20760 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-20768 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante |
5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-20799 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante |
5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-20800 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante |
5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26101 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante |
5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-41877 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrário |
Importante |
5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-41878 |
| Criação de script entre sites (XSS armazenado) (CWE-79) |
Execução de código arbitrária | Moderado | 3.4 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:N/A:N | CVE-2024-26051 |
Observação:
Se um cliente estiver usando o Apache httpd em um proxy com uma configuração sem padrão, ele pode ser impactado pelo CVE-2023-25690 — leia mais aqui: https://httpd.apache.org/security/vulnerabilities_24.html
Agradecimentos
A Adobe gostaria de agradecer aos seguintes profissionais por terem relatado esses problemas e trabalhado com a Adobe para ajudar a proteger nossos clientes:
- Lorenzo Pirondini -- CVE-2024-26028, CVE-2024-26032, CVE-2024-26033, CVE-2024-26034, CVE-2024-26035, CVE-2024-26038, CVE-2024-26040, CVE-2024-26041, CVE-2024-26042, CVE-2024-26043, CVE-2024-26044, CVE-2024-26045, CVE-2024-26052, CVE-2024-26059, CVE-2024-26064, CVE-2024-26065, CVE-2024-26073, CVE-2024-26080, CVE-2024-26124, CVE-2024-26125, CVE-2024-20768, CVE-2024-20800
- Jim Green (green-jam) – CVE-2024-26030, CVE-2024-26031, CVE-2024-26056, CVE-2024-26061, CVE-2024-26062, CVE-2024-26067, CVE-2024-26069, CVE-2024-26094, CVE-2024-26096, CVE-2024-26101, CVE-2024-26102, CVE-2024-26103, CVE-2024-26104, CVE-2024-26105, CVE-2024-26106, CVE-2024-26107, CVE-2024-26118, CVE-2024-26119, CVE-2024-26120, CVE-2024-20760, CVE-2024-20799, CVE-2024-41877, CVE-2024-41878
- Akshay Sharma (anonymous_blackzero) -- CVE-2024-26050, CVE-2024-26051
OBSERVAÇÃO: o Adobe tem um programa de recompensa de bugs privado, apenas para convidados, o HackerOne. Se estiver interessado em trabalhar com a Adobe como pesquisador de segurança externa, preencha este formulário para saber as próximas etapas.
Revisões
21 de agosto de 2024 – Adicionado CVE-2024-41877 e CVE-2024-41878
20 de junho de 2024 – Adicionado CVE-2024-26101
12 de junho de 2024 – Removido CVE-2024-26126 e CVE-2024-26127
3 de abril de 2024 - Adicionado CVE-2024-20800
1º de abril de 2024 - Adicionado CVE-2024-20799
18 de março de 2024 - CVE-2024-26048 removido
Para mais informações, acesse https://helpx.adobe.com/br/security.html ou envie um email para PSIRT@adobe.com.
