Бюллетень безопасности Adobe

Обновления безопасности для Adobe Experience Manager | APSB23-18

Идентификатор бюллетеня

Дата публикации

Приоритет

APSB23-18

14 марта 2023 г.

3

Сводка

Компания Adobe выпустила обновления для Adobe Experience Manager (AEM). В этих обновлениях устранены уязвимости, которые классифицируются как важные и средние.  Эксплуатация этих уязвимостей могла привести к выполнению произвольного кода, повышению уровня полномочий и обходу функций безопасности.  

Затрагиваемые версии продуктов

Продукт Версия Платформа
Adobe Experience Manager (АЕМ)
AEM Cloud Service (CS)
Все
6.5.15.0  и более ранние версии 
Все

Решение

Компания Adobe категоризирует эти обновления при помощи следующих рейтингов приоритета и рекомендует пользователям обновлять установленное программное обеспечение до последних версий:

Продукт

Версия

Платформа

Приоритет

Доступность

Adobe Experience Manager (AEM) 
AEM Cloud Service, выпуск 2023.1
Все 3 Сведения о выпуске
6.5.16.0
Все

3

Заметки о выпуске пакета обновления для AEM 6.5 
Примечание.

Пользователи Cloud Service Adobe Experience Manager автоматически получат обновления, включающие новые функции, а также обновления системы безопасности и исправления ошибок в функциональности.  

Примечание.

Для получения помощи с AEM версий 6.4, 6.3 и 6.2 обратитесь в отдел обслуживания клиентов компании Adobe.

Сведения об уязвимости

Категория уязвимости

Влияние уязвимости

Серьезность

Базовая оценка CVSS 

Номер CVE 

Межсайтовый скриптинг (отраженный) (CWE-79)

Выполнение произвольного кода

Важная

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2023-22252

Межсайтовый скриптинг (отраженный) (CWE-79)

Выполнение произвольного кода

Важная

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2023-22253

Межсайтовый скриптинг (отраженный) (CWE-79)

Выполнение произвольного кода

Важная

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2023-22254

Перенаправление URL на ненадежный сайт («Открытое перенаправление») (CWE-601)

Обход функции безопасности

Средняя

3.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

CVE-2023-22256

Перенаправление URL на ненадежный сайт («Открытое перенаправление») (CWE-601)

Обход функции безопасности

Средняя

3.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

CVE-2023-22257

Перенаправление URL на ненадежный сайт («Открытое перенаправление») (CWE-601)

Обход функции безопасности

Средняя

3.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

CVE-2023-22258

Перенаправление URL на ненадежный сайт («Открытое перенаправление») (CWE-601)

Обход функции безопасности

Средняя

3.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

CVE-2023-22259

Перенаправление URL на ненадежный сайт («Открытое перенаправление») (CWE-601)

Обход функции безопасности

Средняя

3.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

CVE-2023-22260

Перенаправление URL на ненадежный сайт («Открытое перенаправление») (CWE-601)

Обход функции безопасности

Средняя

3.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

CVE-2023-22261

Перенаправление URL на ненадежный сайт («Открытое перенаправление») (CWE-601)

Обход функции безопасности

Средняя

3.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

CVE-2023-22262

Перенаправление URL на ненадежный сайт («Открытое перенаправление») (CWE-601)

Обход функции безопасности

Средняя

3.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

CVE-2023-22263

Перенаправление URL на ненадежный сайт («Открытое перенаправление») (CWE-601)

Обход функции безопасности

Средняя

3.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

CVE-2023-22264

Перенаправление URL на ненадежный сайт («Открытое перенаправление») (CWE-601)

Обход функции безопасности

Средняя

3.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

CVE-2023-22265

Перенаправление URL на ненадежный сайт («Открытое перенаправление») (CWE-601)

Обход функции безопасности

Средняя

3.5

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N

CVE-2023-22266

Межсайтовый скриптинг (сохраненный) (CWE-79)

Выполнение произвольного кода

Важная

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2023-22269

Слабое шифрование для паролей (CWE-261)

Повышение уровня полномочий

Важная

5.3

CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N

CVE-2023-22271

Межсайтовый скриптинг (сохраненный) (CWE-79)

Выполнение произвольного кода

Важная

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2023-21615

Межсайтовый скриптинг (сохраненный) (CWE-79)

Выполнение произвольного кода

Важная

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2023-21616

Примечание.

Если клиент использует Apache httpd в прокси-сервере с нестандартной конфигурацией, он может быть подвержен уязвимости CVE-2023-25690, подробнее см. здесь: https://httpd.apache.org/security/vulnerabilities_24.html

Примечание.

Если клиент использует Apache httpd в прокси-сервере с нестандартной конфигурацией, он может быть подвержен уязвимости CVE-2023-25690, подробнее см. здесь: https://httpd.apache.org/security/vulnerabilities_24.html

Благодарности

Компания Adobe выражает благодарность следующим лицам за сообщение об этих проблемах и за помощь Adobe в защите наших клиентов: 

  • Джим Грин (green-jam) - CVE-2023-22252, CVE-2023-22253, CVE-2023-22254, CVE-2023-22256, CVE-2023-22257, CVE-2023-22258, CVE-2023-22259, CVE-2023-22260, CVE-2023-22261, CVE-2023-22262, CVE-2023-22263, CVE-2023-22264, CVE-2023-22265, CVE-2023-22266, CVE-2023-22269, CVE-2023-22271, CVE-2023-21615, CVE-2023-21616

Для получения дополнительной информации посетите сайт https://helpx.adobe.com/ru/security.html или отправьте сообщение по адресу PSIRT@adobe.com.

 Adobe

Получайте помощь быстрее и проще

Новый пользователь?

Adobe MAX 2024

Adobe MAX
— творческая конференция

С 14 по 16 октября очно в Майами-Бич и онлайн

Adobe MAX

Творческая конференция

С 14 по 16 октября очно в Майами-Бич и онлайн

Adobe MAX 2024

Adobe MAX
— творческая конференция

С 14 по 16 октября очно в Майами-Бич и онлайн

Adobe MAX

Творческая конференция

С 14 по 16 октября очно в Майами-Бич и онлайн