ID buletin
Ultima actualizare la
30 aug. 2024
Actualizări de securitate disponibile pentru Adobe Experience Manager | APSB24-05
|
|
Data publicării |
Prioritatea |
|---|---|---|
|
APSB24-05 |
12 martie 2024 |
3 |
Sumar
Adobe a lansat actualizări pentru Adobe Experience Manager (AEM). Aceste actualizări remediază vulnerabilități evaluate ca importante și moderate. Exploatarea reușită a acestor vulnerabilități ar putea duce la executarea arbitrară a codului și la ocolirea caracteristicilor de securitate.
Versiunile de produs afectate
| Produs | Versiunea | Platformă |
|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service (CS) |
Toate |
| 6.5.19.0 și versiunile anterioare |
Toate |
Soluție
Adobe acordă acestor actualizări următoarele evaluări ale priorității și recomandă utilizatorilor să își actualizeze produsele instalate la cea mai nouă versiune:
Produs |
Versiunea |
Platformă |
Prioritatea |
Disponibilitate |
|---|---|---|---|---|
| Adobe Experience Manager (AEM) |
AEM Cloud Service versiunea 2024.03 |
Toate | 3 | Note de lansare |
| 6.5.20.0 | Toate |
3 |
Note privind lansarea pachetului AEM 6.5 Service Pack |
Notă:
Clienții care rulează în Cloud Service din Adobe Experience Manager vor primi automat actualizările care includ caracteristici noi, precum și remedieri ale erorilor de funcționalitate și de securitate.
Notă:
Considerații de securitate Experience Manager:
Considerații de securitate AEM as a Cloud Service
Pachet de întărire a permisiunilor anonime
Notă:
Contactați serviciul de asistență pentru clienți Adobe pentru ajutor privind versiunile AEM 6.4, 6.3 și 6.2.
Detalii privind vulnerabilitatea
| Categoria de vulnerabilitate |
Impactul vulnerabilității |
Severitate |
Scor de bază CVSS |
Vector CVSS |
Număr CVE |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26028 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26030 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26031 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26032 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26033 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26034 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26035 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26038 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26040 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26041 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26042 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26043 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26044 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26045 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 4.5 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:N/A:N | CVE-2024-26050 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26052 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26056 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26059 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26061 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26062 |
| Expunere la informații (CWE-200) | Ocolirea caracteristicii de securitate | Importantă | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CVE-2024-26063 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26064 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26065 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26067 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26069 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26073 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26080 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26094 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26096 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26102 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26103 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26104 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26105 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26106 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26107 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26118 |
| Control inadecvat al accesului (CWE-284) | Ocolirea caracteristicii de securitate | Importantă | 5.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CVE-2024-26119 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26120 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26124 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26125 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-20760 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă | 5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-20768 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă |
5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-20799 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă |
5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
CVE-2024-20800 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă |
5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-26101 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă |
5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-41877 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrar |
Importantă |
5.4 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N | CVE-2024-41878 |
| Scriptare între site-uri (XSS stocat) (CWE-79) |
Executare de cod arbitrară | Moderată | 3.4 | CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:N/A:N | CVE-2024-26051 |
Notă:
Dacă un client utilizează Apache httpd într-un proxy cu o configurație diferită de cea implicită, acesta poate fi afectat de CVE-2023-25690 – citiți mai multe aici: https://httpd.apache.org/security/vulnerabilities_24.html
Mențiuni
Adobe dorește să transmită mulțumiri următorilor pentru raportarea acestor probleme și pentru colaborarea cu Adobe în scopul protejării clienților noștri:
- Lorenzo Pirondini -- CVE-2024-26028, CVE-2024-26032, CVE-2024-26033, CVE-2024-26034, CVE-2024-26035, CVE-2024-26038, CVE-2024-26040, CVE-2024-26041, CVE-2024-26042, CVE-2024-26043, CVE-2024-26044, CVE-2024-26045, CVE-2024-26052, CVE-2024-26059, CVE-2024-26064, CVE-2024-26065, CVE-2024-26073, CVE-2024-26080, CVE-2024-26124, CVE-2024-26125, CVE-2024-20768, CVE-2024-20800
- Jim Green (green-jam) -- CVE-2024-26030, CVE-2024-26031, CVE-2024-26056, CVE-2024-26061, CVE-2024-26062, CVE-2024-26067, CVE-2024-26069, CVE-2024-26094, CVE-2024-26096, CVE-2024-26101, CVE-2024-26102, CVE-2024-26103, CVE-2024-26104, CVE-2024-26105, CVE-2024-26106, CVE-2024-26107, CVE-2024-26118, CVE-2024-26119, CVE-2024-26120, CVE-2024-20760, CVE-2024-20799, CVE-2024-41877, CVE-2024-41878
- Akshay Sharma (anonymous_blackzero) -- CVE-2024-26050, CVE-2024-26051
NOTĂ: Adobe are un program privat de recompensă pentru erori, cu invitație exclusivă, cu HackerOne. Dacă sunteți interesat să lucrați cu Adobe în calitate de cercetător extern în domeniul securității, completați acest formular pentru pașii următori.
Revizii
21 august 2024 - S-au adăugat CVE-2024-41877 și CVE-2024-41878
20 iunie 2024 - S-au adăugat CVE-2024-26101
12 iunie 2024 - S-au eliminat CVE-2024-26126 și CVE-2024-26127
3 aprilie 2024 - S-a adăugat CVE-2024-20800
1 aprilie 2024 - S-a adăugat CVE-2024-20799
18 martie 2024 - Eliminat CVE-2024-26048
Pentru mai multe informații, vizitați https://helpx.adobe.com/ro/security.html sau trimiteți e-mail la PSIRT@adobe.com.
