Adobe-säkerhetsbulletin

Säkerhetsuppdateringar tillgängliga för Adobe Experience Manager | APSB22-40

Bulletin-ID

Publiceringsdatum

Prioritet

APSB22-40

13 september 2022 

3

Sammanfattning

Adobe har släppt uppdateringar för Adobe Experience Manager (AEM). Uppdateringarna åtgärdar sårbarheter som klassificerats som viktiga.  Exploatering av sårbarheter kan leda till exekvering av godtycklig kod och att säkerhetsfunktioner kringgås.

Berörda produktversioner

Produkt Version Plattform
Adobe Experience Manager (AEM)
AEM Cloud Service (CS)
Alla
6.5.13.0 och tidigare versioner 
Alla

Lösning

Adobe klassar dessa uppdateringar med följande prioritetsklassificeringar och rekommenderar användare att uppdatera till den senaste versionen:

Produkt

Version

Plattform

Prioritet

Tillgänglighet

Adobe Experience Manager (AEM) 
AEM Cloud Service (CS)
Alla 3 Versionsinformation
6.5.14.0 
Alla

3

AEM 6.5 Service Pack versionsinformation 
Obs!

Kunder som kör på Adobe Experience Managers Cloud Service får automatiskt uppdateringar som innehåller nya funktioner samt felkorrigeringar av säkerhet och funktionalitet.  

Obs!

Kontakta Adobes kundtjänst om du behöver hjälp med AEM-versionerna 6.4, 6.3 och 6.2.

Sårbarhetsinformation

Sårbarhetskategori

Sårbarhetens inverkan

Allvarlighet

CVSS-baspoäng 

CVE-nummer 

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktigt

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30677

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktigt

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30678

Cross-site Scripting (XSS)

(CWE-79)

Exekvering av godtycklig kod

Viktig

5,4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30680

Serveröverskridande skriptning (lagrad XSS) (CW-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30681

Serveröverskridande skriptning (lagrad XSS) (CW-79)

Exekvering av godtycklig kod

Viktig

6.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:N

CVE-2022-30682

Överträdelse av principerna för säker design (CWE-657)

Åsidosättning av säkerhetsfunktion

Viktig

5.3

CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N

CVE-2022-30683

Serveröverskridande skriptning (reflekterad XSS) (CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30684

Serveröverskridande skriptning (reflekterad XSS) (CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30685

Serveröverskridande skriptning (reflekterad XSS) (CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-30686

Serveröverskridande skriptning (reflekterad XSS) (CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-35664

Serveröverskridande skriptning (reflekterad XSS) (CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-34218

Serveröverskridande skriptning (reflekterad XSS) (CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-38438

Serveröverskridande skriptning (reflekterad XSS) (CWE-79)

Exekvering av godtycklig kod

Viktig

5.4

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

CVE-2022-38439

Uppdateringar av beroenden

Beroende
Sårbarhetens inverkan
Berörda versioner
xml-grafik
Eskalering av behörighet

AEM CS  

AEM 6.5.9.0 och tidigare

ionetty
Eskalering av behörighet

AEM CS  

AEM 6.5.9.0 och tidigare

Tack

Adobe tackar följande personer för att de har rapporterat problemen och för att de samarbetar med oss i säkerhetsfrågor: 

  • Jim Green (green-jam) --CVE-2022-30677, CVE-2022-30678, CVE-2022-30680, CVE-2022-30681, CVE-2022-30682, CVE-2022-30683, CVE-2022-30684, CVE-2022-30685, CVE-2022-30686, CVE-2022-35664,  CVE-2022-34218, CVE-2022-38438, CVE-2022-38439

Revisioner

21 september 2022: Information om CVE-2022-38438 och CVE-2022-38439 har lagts till

14 december 2021: Uppdaterat bekräftelsen för CVE-2021-43762

16 december 2021: Korrigerat prioritetsnivå för bulletinen till 2

29 december 2021: Uppdaterade bekräftelse för CVE-2021-40722


Mer information finns på https://helpx.adobe.com/se/security.html eller på PSIRT@adobe.com.

 Adobe

Få hjälp snabbare och enklare

Ny användare?

Adobe MAX 2024

Adobe MAX
Kreativitetskonferensen

14–16 okt i Miami Beach och online

Adobe MAX

Kreativitetskonferensen

14–16 okt i Miami Beach och online

Adobe MAX 2024

Adobe MAX
Kreativitetskonferensen

14–16 okt i Miami Beach och online

Adobe MAX

Kreativitetskonferensen

14–16 okt i Miami Beach och online